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القسم الثالث 


قضايا التقنية 


الفصل السادس : أمن المعلومات اللاسلكية محا ان نب نت EEA‏ 
الفصل السابع : مواد ومواقع مرجعية teal‏ ل ل 
الثبت التعريفي كل A‏ 
المختصرات اا الوط ا NS‏ 
ثبت المصطلحات (عربي ‏ إنجليزي) نم تق امو ETE‏ ابا ال ا 
ثبت المصطلحات (إنجليزي = عربي) EEE sateen cd eed‏ 
المراجع Pe eee ee‏ 
حول مؤلفي الكتاب ااا 000 
الفهرس ae SN‏ ل ل AE E PEAT‏ 


تفا : 


سلسلة كتب التقنيات الاستراتيجية 
مبادرة الملك عبد الله للمحتوى العربى 


يطيب لي أن أقدم لهذه السلسلة التي جرى انتقاؤها في مجالات تقنية ذات 
أولوية للقارئ العربي في عصر أصبحت فيه المعرفة محركاً أساسياً للنمو 
tales Cesta‏ .ريات BS OU E E‏ يديل SULA‏ 
عبد العزيز للعلوم والتقنية والمنظمة العربية للترجمةء ويقع في إطار تلبية عدد 
يالاات Slee silly‏ الى تعتى UL‏ العربية #والغلزم : Meng‏ 

2 تفن الا‎ T ا ی‎ TE Seely ا‎ OCs Val 
ایت‎ GAY تكون کے‎ Oly العريية‎ GAUL plaza By pd الذي يوك‎ 02007 
PRN Spee yes على‎ ah ek CUS gual 
جميع الميادين» بما في ذلك وسائل الاتصال» والإعلام» والإنترنت وغيرها).‎ 


ثانياً: «السياسة الوطنية للعلوم والتقنية» في المملكة العربية السعودية التي 
le Gis‏ اعتماد إخدى عشرة تقنية del au)‏ هي المباه» والبترول Maly‏ 
والبتروكيميائيات » والتقنيات المتناهية الصغر (SUI)‏ والتقنية الحيوية» وتقنية 
clea |‏ بز الا peas a le ely Nea Nya ae‏ لبان 
والطاقة» والمواد المتقدمة» والبيئة. 

ثالثاً: مبادرة الملك عبد الله للمحتوى العربي التي تفعّل Lad‏ ما جاء في 
البند أولا عن حضور اللغة العربية فى الإنترنت» حيث تهدف إلى إثراء 
Gaal spel‏ ر pelted ge ode‏ الى نادم ماه SULA‏ عه papal‏ 
للعلوم والتقنية بالتعاون مع جهات مختلفة داخل المملكة وخارجها. ومن هذه 
المشاريع ما يتعلق برقمنة المحتوى العربي القائم على شكل ورقي وإتاحته على 
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شبكة الإنترنت» ومنها ما يتعلق بترجمة الكتب الهامة» وبخاصة العلمية» مما 
يساعد على إثراء المحتوى العلمي بالترجمة من اللغات الأخرى إلى اللغة 
العربية بهدف تزويد القارئ العربي بعلم نافع مفيد. 

تشتمل السلسلة على ثلاثة كتب فى كل من التقنيات التى حددتها «السياسة 
الوطنية للعلوم والتقنية». واختيرت الكتب بحيث يكون الأول مرجعاً عالمياً 
معروفا في تلك التقنية» ويكون الثاني LES‏ جامعياء والثالث Lle LES‏ موجها 
إلى ال وفنا (ples‏ ذلك كتاب واحد أو أكثر. وعليه» تشتمل 
Td‏ قدي DEY BSP egos ile RENE‏ 
jeer LS cle bbs‏ كاب ote Sle!‏ للمسطلحات العلمية والتقنية 
العم فى هله cates MUL‏ م 

ولقد جرى انتقاء الكتب وفق معايير منها أن يكون الكتاب من أمهات 
الكتب في تلك التقنية» ولمؤلفين يشهد لهم عالمياًء وأنه قد صدر بعد عام 
oly «2000‏ لا يكون Gs‏ الاختصاص Cee‏ يخاطب فئة محدودة» Oly‏ تكون 
النسخة التي يترجم عنها مكتوبة باللغة التي ألف بها الكتاب وليست مترجمة عن 
لغة أخرى» وأخيراً أن يكون موضوع الكتاب ونهجه عملياً تطبيقياً يصب في 
جهود نقل التقنية والابتكارء ويساهم في عملية التنمية الاقتصادية من خلال 
زيادة المحتوى المعرفي العربي. 

إن مدينة الملك عبد العزيز للعلوم والتقنية سعيدة بصدور هذه المجموعة 
من الكتب» وأود أن أشكر المنظمة العربية للترجمة على الجهود التي بذلتها 
لتحقيق الجودة العالية في الترجمة والمراجعة والتحرير والإخراج» وعلى حسن 
انتقائها للمترجمين المتخصصين» وعلى سرعة الإنجاز» كما أشكر اللجنة 
العلمية للمجموعة التى أنيط بها الإشراف على إنجازها فى المنظمة وكذلك 
زلا" فى ua‏ ا ala! pall ae‏ وا لدوم ا نقيت او 
الملك عبد الله للمحتوى العربي. 


الرياض 20/ 1431/3 ه 
رئيس مدينة الملك عبد العزيز للعلوم والتقنية 
د. محمد بن els!‏ السويل 


مقدمة المترجم 


الاقتصاد في العالم إلى اقتصادٍ يقوم على المعرفة. Gis‏ من ذلك أن المعرفة 
أصبحت هي الثروة وهي الأصول غير المادية فى هذه الثروة. والمعرفة Úy‏ 
وتخرلٌ وتنقل وتنشرٌ وتستثم. أما الأداة فى als ie‏ فهى تقنية المعلومات 
LA,‏ راكفا على ode‏ ارو وسعيتها LY‏ من placa‏ اها 
ae‏ هذا الكتاب Gl‏ المعلومات» وبالتالي أمنّ المعرفة أيضاً. يأخذ هذا 
الموضوع أبعاداً شتى ويدخل في حياتنا اليومية لتعاملنا اليومي مع المعلومات 
ومع المعرفة. 


C35‏ هذا الكتاب خمسة من الخبراء الممارسين في هذا الموضوع في 
حقول الاقتصادٍ والتعليم والدفاع والأمنٍ Boel‏ والمال ونت جه 
ا اسيل سارل Cod‏ الغوص في النواحي التقنية المعقدة 
لهذا الموضوع» ولكنه يحيط JS‏ أبعاده. يخاطب الكتاب المدراء في القطاعين 
العام والخاص» كما يخاطب العامة ممن يستعملون الحواسيب والشبكات. 
ويُعرّف بمصطلحات هذا الحقل وأسسه الهامة ومبادئه على شكل نصائح 
وإجراءات يجب أن ينتبه لها الكل في القرن الحادي والعشرين 

إن أمن تقنية المعلومات أصبح بالغ الأهمية على صعيد الأفراد 
والمؤسسات والدول. كما يمس كافة أنشطة حياتنا الاقتصادية والاجتماعية 
والثقافية والسياسية والعسكرية والعلمية. يبين الكتاب أبعاد الموضوع التخطيطية 
والإدارية والتقنية والتنظيمية والبشرية. ينتهي كل فصل من فصول الكتاب بجدول 
نصائح يلخص الإجراءات المطلوبة. ويشتمل الفصل السابع والأخير على لوائح 
غنية بالمراجع التي يمكن العودة إليها للاستزادة والتعمق. 

لقد حاولت في ترجمة مصطلحات الكتاب» وهي عديدة نظراً إلى حداثة 
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هذا العلم» أن أشكل حقولاً دلالية نتجنب فيها استعمال نفس المصطلح العربي 
لأكثر من مصطلح أجنبي. فهناك القرصان والمخترق والكاسر والمتلصص 
والمتنصت والمقتحم والمعترض والمتطفل والمشمشم» والشركة والمؤسسة 
والمنظمة والوكالة» والحماية والأمن والسّرية والتأمين والخصوصية والوثوقية 
«ES‏ و الد رل والتفاة وال ورل والتؤوير» Cass,‏ والعلفيق و Jea Y‏ 
والاختطاف والسرقة GV‏ والاحتيال والجريمة» والتحديث والتحسين 
والمواءمة والترقيع والتحيين» والحوكمة والإدارة والسيطرة والضبط والتحكم 
والهيكلة والإجراء والآلية» والمهددات والمخاطر والثغرات والتحديات 
والخللء» والمعايير والمواصفات والقواعد والقوانين» والتفخُص والتفتيش 
والمراقبة والتحقّق والتفقٌّد والتحرّي والتبيّن والتقييم والتدقيق» والحاسوب 
والمخدّم والمضيف والموجّه والمرشح» والقياس والتكميم والحساب» 
والمنهجية والمقاربة والطريقة وإطار العمل والمنظورء وهكذا. 

لقد أضفت بعض الحواشي إلى شرح فقرات قد تكون غامضة أو خاصة 
بحالة الولايات المتحدة» إذ كانت أكثر الأمثلة التي أتى بها مؤلفو الكتاب من 
التجربة الأمريكية. كما أضفت فى آخر CES!‏ لائحة بالمختصرات الإنجليزية 
مع شر ا بال به ر كلك ot ade Gof‏ الاتحليزية' مع متابلاتها dey pall‏ 
وبالعكس. هذا وقد وضع فهرس الكتاب باللغتين أيضا. 

وهنا آقذر جهود مدينة الملك عبد العزيز للعلوم والتقنية» والمنظمة العربية 
للترجمة في تبني هذا المشروع الرائد والهام» الذي ينقل إلى العربية أمهات 
الكتب الحديثة في تقنيات استراتيجية ستشكل لبنة من لبنات التوجه نحو مجتمع 
واقتصاد المعرفة العربي وتساهم في زيادة المحتوى العربي المفيد والبنَّاء. 

في الختام» أود أن أشكر الآنسة فرح مراياتي التي ساعدتني في الترجمة» 
وكذلك عمر مراياتي الذي وفر علي الكثير من الوقت والجهد في طباعة أجزاء 
من ASS‏ 

الرياض في 2011/3/15 
الدكتور محمد مراياتي 
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تمهيد 


إن التزايد اليومي في تكرار وتعقيد الهجمات المدبّرة على الشبكة» Boe‏ 
في الأنظمة والبيانات وفي دخول المستخدم فعلياً إلى موقع كل مؤسسة أعمال 
أو l Aaa‏ 


سواء أحدثت Lalas‏ من قبل مستخدمين عندما يفتحون بريدهم 
الالكترونى اليومى» أو من قبل هجمة «الحرمان من الخدمة» المدبرة التى تجند 
Ae dole‏ أنظمة «الزومبى)» فان على مديري إدارة تقنية N‏ 
الشركة أن يكونوا جاهزين GM‏ وذلك لإبطال التهديدات التي تؤثر في توليد 
الربح وتسبب العمليات المزعجة لمستخدمي تقنية المعلومات عامة. قد يؤثر 
قرار أمن المعلومات» التى تمثل ممتلكات أو أصول غير مادية» فى العديد من 
الحالات» تأثيراً افا الوكالة أو الشركة» وفي الاستثمار المخطط 
والربح المتوقع للمساهمين. 


إن هذا الكتاب موجَهٌ إلى كبار الإداريين ولكلّ من يتعامل مع المعلومات» 
وقد GS‏ من قبل مدراء مرموقين» ونقح من قبل Goll‏ رفيع المستوى في تقنية 
المعلومات» مع مساهمات من خبراء من الصناعة ومن الحكومة. 


SES 5‏ إلى ثلاثة أقسام رئيسية تتعلق بمنظومة أمن المعلومات ألا 
وهي : نواحي الحوكمة أو الإدارة» ثم النواحي الهيكلية» WE,‏ النواحي التقنية» 
متجنباً المصطلحات التقنية المعقدة إلا عند الضرورة. يقدّم كل قسم من هذه 
الأقسام الثلاثة نظرةً شاملة تتضمن المحاور القانونية البشرية والمالية 
والاتصالاتية والمخاطر المحيطة واستراتيجيات الإدارة والمحاور التقنية لحماية 
أنظمة الاتصالات وحواسيب تقنية المعلومات. 
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لقد وضع إطارٌ أو جدول في نهاية كل فصل لمساعدة الإدارة في اتخاذ 
القرار بشأن التوازن أو الموازنة بين: الاستثمار والأمن والنفاذ إلى المعلومات 
والالتزام بالقانون. وتوجد في نهاية الكتاب قوائم مرجعية لمصادر معلومات 
متاحة للعامة مرتبطة بأمن تقنية المعلومات. 

يمكن للإداريين ومدراء الشركات التنفيذيين أن يختاروا نشاطات الدعم 
والاستثمارات قصيرة وطويلة الأمد المطلوبة لأمن بناهم التحتية الحاسوبية» 
مستخدمين فى ذلك هذه الأطر أو الجداول الموجودة فى نهاية فصول الكتاب 
لاتخاذ قرارات أفضل. تصف هذه الأطرء المبتكرة لاتخاذ قرار الموازنة» 
الإجراءات والأعمال التي تحمي بفاعلية النفاذ إلى النظم والمعلومات في عالم 
التحدي والتغير السريع» وذلك من خلال تقديم أفضل ممارسات محترفي تأمين 
المعلومات ومستشاري الأمن في الحكومة والصناعة. 

يناقش فصل النظرة التنفيذية الشاملة مفهوم الأمن كعملية» وهو مفهوم قد 
أكسب اهتماماً خاصا داخل مجتمعات الأمن وتقنية المعلومات. تتضمن 
المواضيع العديدة» التي استعرضها الفصلء العالم الجديد لأمن تقنية 
المعلومات» والقيمة المتزايدة باستمرار لممتلكات (أصول) المعلومات» 
ومسؤوليات وتحديات الآمن أمام الإدارة العليا ورؤساء المؤسسات اليوم. 


يستعرض القسم الأول قضايا الحوكمة في أمن تقنية المعلومات» بما فيها 
مسألة الموازنة بين خصوصية الموظف والنفاذ إلى المعلومات» وسياسات 
الأمن الإدارية» والنواحى القانونية» واستراتيجيات إدارة المخاطر والوثوقية 
ا ا 


يطرح القسم الثاني قضايا هيكلة منظومة أمن تقنية المعلومات» وذلك 
ابتداءَ من بناء مصفوفة التهديد. يزود القسم بعد ذلك تفاصيل حول ملاءمة 
الهيكلية مع اتفاقيات مستوى الخدمة» ومع إنشاء حواجز الحماية متعددة 
المستويات» ومع كشف التهديدات الداخلية لعمليات أمن تقنية المعلومات. 
يناقش القسم أيضاً منهجيات التخطيط لتجنب الكوارث. 

يركز القسم الثالث على قضايا تقنية تتداخل cae‏ وتدعمُ قضايا الحوكمة 
وقضايا النواحي الهيكلية. تستحوذ مقومات التقنية على نسبة كبيرة من 
استثمارات أمن تقنية المعلومات ويحتاج الإداريون فهم LAS‏ تطبيق التقنية» 
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وكيفية عملهاء وسبب الغلاء الكبير لتشغيلها وصيانتها. يستعرض هذا القسم 
حماية برمجيات ¿COTS‏ ونظام حفظ واسترجاع البيانات» والتخطيط 
للاستمراريةء وتقادم البيانات» والمميزات البيولوجية في التحقق من الهوية. 
والبطاقات الذكية» وتخزين المعلومات. واختبار اختراق أمن المعلومات. 

td‏ مراجع مواد الكتاب مؤشرات لمصادر أمن المعلومات المتاحة 
علانية. وبما أن هناك تطورات كبيرة متوقعة في المبادئ التقنية والتشريعية في 
wall age So gels eae Neil ata il‏ 7 المراجع بدافع التحديث S‏ 
صائب ونافع. 


13 


ا 


إن كتب التقنية والأمن عبارة عن مساهمات جماعية من وجهتي النظر 
الإدارية والتقنية. 


لقد حَظي كتاب أمن تقنية المعلومات: نصائح من خبراء بتنقيحات 
تحرير» وبمساهمة من الكثير من خبراء هذا المجال» الذين أعطوا بسخاء من 
وقتهم ومعرفتهم. 

إن الأشخاص SV‏ ذكر أسمائهم قد قدموا إسهامات في هذا الكتاب أو 
نقحوا جميع أجزائه أو lege‏ منه : 


روبرت © لوري» مدير سابق لخدمات التصميم بمساعدة الحاسوب» t‏ 
شركة تي آر دبليو TRW‏ المحدودة ‏ نورمان ج. شويتزر» كبير مدراء شركة 
CATIA‏ المحدودة ‏ دوغلاس بيورفانس » مسؤول ورئيس الإدارة التنفيذية» 
شركة التجارة العالمية الالكترونية - جون ويبل» كبيرمدراء المشروع» شركة ديل 
للحواسيب 11 - دوروثي نولان» مسؤول ورئيس الإدارة التنفيذية لشركة 
أوفيكس - غوردون كاستيان» مسؤول ورئيس الإدارة التنفيذية في شركة سباين 
العالمية - تيموثي سلوسر» نائب الرئيس» القطاع الفيدرالي سي إس سي - AS‏ 
tees‏ مسؤول البر امج في برنامج التحالف «برايم» - آرون فيلبس › مدير 
Lod‏ النظاء رالات تيد بريه :مدير مشروع آم اي Gl‏ جرت LiKe‏ 
مدير عمليات هندسة الأنظمة» برنامج التحالف «برايم» - ستيفن بروكتور» نائب 
المدير» برنامج التحالف «برايم) لهندسة البنية التحتية - ريتشارد فوشت» مدير 
مكتب الخصوصية والحماية» برنامج التحالف «برايم) و جون igi y‏ مدير 


لهؤلاء الأشخاص ولأخرين قد أكون قد أخفقت في إعطائهم الثناء الذي 
يستحقون: لقد كانت أفكاركم واقتراحاتكم وإرشاداتكم» طيلة سنوات» قيّمة 
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للغاية وتقدر إلى حذ بعيد. إن أي خطأ أو إغفال هو بالطبع من اقتراف يدي. أرجو 
إعلامى بالأخطاء عبر البريد الالكترونى (IITSbook@aol.com)‏ وسوف أبذل 
قصارى جهدي لتصحيح الأخطاء المطبعية في النسخ المعدلة التالية للكتاب. 


يتوجبّ علي أيضاً التعبير عن شكري للمساهمين الرئيسيين الأربعة في هذا 
الكتاب: كريسان هیرود» تشارليز ریکس» كليفتون بوول» وكريج إي. كوشر. 
لقد كانت نوعية المحتوى الذي قدموه والتزامهم بالمواعيد غاية في الدقة» 
وذلك على الرغم من المسؤوليات العظيمة تجاه وظيفتهم الطبيعية في جامعة 
الدفاع الوطني في مقاطعة واشنطن. 

من وجهة نظر الإدارة العلياء ستكون التغيرات في مستقبل أمن تقنية 
المعلومات محبطة ومرضية على de‏ سواء. لودع كا ووم لطي الله مين 
التقارير والمتطلبات Wai‏ خروقاً أمنية ورقع برمجيات و إنه Lastas‏ 
لكلا محترفي الأمن والهيئة الإدارية التنفيذية» أنه مهما طَوّرت الأساليب 
الدفاعية واشتريت وثبتت أو شغلت» فإنها سوف تُخرق أو تهزم مع الوقت من 
قبل أناس أذكياء أو من قبل مقومات التقنية التي يساء تطبيقها. 

من ناحية أخرى» إن النجاح في منع الأشخاص المحظورين والهجمات 
الاقتحامية من التأثير في المعلومات والأنظمة والشبكات والأبنية كل يوم» 
وكذلك الاد ار اموس بدون توقفء هما أمران يفتخر Le‏ 
te‏ إن الهدف بالطبع هو تحقيق نجاح مؤكد 100/ في أمن المعلومات وفي 
الأنظمة والشبكات - لكنه عمل صعب ومليء بالتحدي. 

میا لک النجاح الدائم في حماية ممتلكات (أصول) أنظمتكم وشبكاتكم 
ومعلوماتكم أربعاً وعشرين ساعة على مدار الأسبوع. 


لورنس م. أوليفا 
ريستون». فيرجينيا 
شباط/ فبراير 2004 
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الفصل (لارل 
نظرة تنفيذية شاملة 
لورنس م. أوليفا 


العام الجديد الدائم لأمن تقنية المعلومات 


إن اجتماع العديد من الأحداث المرتبطة ببعضها البعض» بما في ذلك اتساع 
التطبيقات غير المحمية المتصلة بالإنترنت» والحرب الشاملة على الإرهاب 
العالمى» والتأثيرات المالية الكبيرة لسرقة الهوية والمعلومات» جعل من أمن تقنية 
المعلرماات. Layer [pate‏ لحك Lalas‏ فيه لات E‏ 

يقوم مثالان اثنان خلال عام 2003م بشرح نطاق مشكلة الأمن وكلفته» 
حيث: ازدادت الاعتداءات على شبكات الاتصال الالكترونية cyber‏ بنسبة 740 
فى الفضؤل الثلاثة الأولى من السنةء. .وقدُوت: تكلفة تطهير الهيجمات المتعددة 
EE‏ و«الدودة» أثناء صيف ذلك العام بنحو 3.5 بليون دولار» وذلك Lady‏ 
لمركز التنسيق CERT‏ وهو مركز مراقبه حماية شبكات الاتصال الالكترونية. 

لقن اتسعت: lel sol‏ الأمة الداخلية fas‏ إلى تشابك alge‏ الوتوقية 
والأداء والمقدرة» وتجاوزت موضوع إبقاء قراصنة الإنترنت والمتطفلين بعيداً 
عن المستخدمين الموثوقين من خلال التحقق من الصفات البيولوجية للمستخدم 
وعوامل أخرى» ومن خلال تعقب الدخول المباح داخل ما يسمّى ب «جدران 
Ub‏ من قبل مستخدمي النظام» ومن خلال التحليل الكاشف للبرمجيات 
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المدمرة. وعلى أية حال» إذا ما أخذنا بعين الاعتبار القيود الاقتصادية 
الموضوعة على نفقات الشركة» Ob‏ الجهود المبذولة فى أمن المعلومات كانت 
E se‏ سد لورقت sated E‏ نمف dpa‏ 

إلى أصول المعلومات. 
إضافة إلى التعقيد التقني لموضوع أمن المعلومات» توجد قضايا قانونية 
تتعلق بخصوصية المستخدم» وقضايا المسؤولية القانونية حيال ضمان عدم 
سرقة سجلات ومعلومات الزبون» والالتزام الحكومي بالقوانين مغل 
HIPAA,GLBA,FCRA,NORPDA,PIPEDA,SAFTEY, SARBANESOXLEY‏ 
and the (U.S.A PATRIOT Act).‏ 


من جهة أخرى» فهناك» إضافة إلى العمليات والخطط طويلة الأمده 
نشاطات آنية مباشرة لمجابهة الهجمات الواسعة على النظام والشبكة تقوم بها 
برمجيات خبيثة (تدعى (Malware‏ مثل الديدان» والفيروسات» وأحصنة طروادة 
وأنظمة «الزومبي». 
ونظراً إلى أن وثوقية التقنية الحديثة قد CA)‏ من توقعات المستخدم إلى 
طب وجود الخدمة أربعاً وعشرين ساعة على مدار الأسبوع» فإن مستوى 
التعقيد الإداري المتعلق بتلك الدرجة من الخدمة قد تطلب استثمارات أوسع في 
التجهيزات» وعدد موظفين أكبر» ووعي بالغ لنتائج كل قرار LE‏ فيما يتعلق 
بأمن تقنية المعلومات. 
O Al le Se E AE‏ 
مع المسؤوليات المقترنة بذلك - في مواضع مختلفة عديدة خارج مجتمع تقنية 
المعلومات التقليدي. 
إن هذا المستوى المضاف في تعقيد الإدارة قد G iel‏ مؤخراً بأهميته وتأثيره 
في مجتمع تقنية المعلومات نظراً إلى ضغط مواعيد الإنتاج والتسليم المحددة. لقد 
جرى إقرار العديد من القوانين المؤثرة بشكل غير مباشر في مجتمع تقنية 
المعلومات منذ 11 أيلول/ سبتمبر 2001. ولا يزال تأثير هذه التغيرات يحدد من 
قبل رجال الصناعة ورجال القانون» وما يترتب على ذلك من نشاطات التدريب 


(se)‏ هذه مختصرات لقوانين صادرة في الولايات المتحدة تتعلق بأمن المعلومات» وسيأتي ذكرها لاحقاً في 
فصول الكتاب. 
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المطلوبة لتحقيق الوعي الكامل والالتزام من قبل كل الجماعات المتأثرة. على أية 
حال» فإنه لأمر واضح بأن أنشطة أمن الأنظمة وأصول المعلومات ستحتاج إلى 
الزيادة زيادةً كبيرة كى تستجيب لهذه القوانين الجديدة» وإلا فإن المنظمات 
والمؤسسات ستتحمل غرامات مالية واتهامات قانونية بالتقصير. 





الأمن بوصفه عملية 


لم يعد أمن تقنية المعلومات مجرد حدث أو مهمة مؤقتة بالنسبة إلى 
المنظمات الحكومية والخاصة. لقد أصبح عملية مستمرة في كل ثانية من كل 
يوم من وجهة النظر التقنية والإدارية. إن pees‏ المدراء التنفيذيين في الشركات 
الصغيرة لا يزالون غير مدركين أن «جدار GUI‏ الخاص بشركتهم Fd‏ مئات 
Solfo‏ فى 'اليوم من قبل أدوات' انطو ASV‏ كما تبتر تجدران GLI‏ 
الحكومية وتلك الخاصة بالخدمات المالية غالبا عشرات آلاف المرات كل يوم. 


إن أدوت السطو هذه والعديد منها متوفر مجاناً عبر الإنترنت يمكن أن 
توظف ضد ملايين الأنظمة بضغطات قليلة من الماوس (الفأرة). وحالما تجد 
هذه الأدوات نظاماً غير محمى» أو نظاماً محمياً بشكل ردي تقوم بتسجيل 
عناوين ال IP‏ (بروتوكول الإنترنت) ومعلومات أخرى مفيدة للقراصنة 
والمخترقين في استغلال النظام أو الشبكة للحصول على بيانات قيمة. يمكن 
للقراصنة Lad‏ أن يحؤّلوا النظام إلى نظام «زومبي)”* أو الحرمان من الخدمة 
(DoS)‏ لإغراق الأنظمة المستهدفة بملايين الرسائل وإضعاف قدرتهم على 
معالجة المعلومات المباحة ونقلها. 


تشتمل إجراءات الأمن القوية على طبقات عديدة للوظائف التشغيلية بما 
فيها التالى: 


© نقاط داخلية وخارجية للسيطرة على النفاذ أو الدخول إلى النظام مثل 
«جدران النار» (من تقنيات أمن المعلومات) 


TET‏ قوي من هوية المستخدم عند طلبه النفاذ أو التحميل. 


(#) تستعمل برامج حاسوبية خبيثة للسيطرة عن بعد على حاسوب مستهدف وجعله يأتمر بأوامر 
القرصان» ويسمى عندها الحاسوب المستهدف «الزومبي» أي الحثة المسيّرة. 
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© مراقبةٌ وتسجيلٌ النفاذ إلى كل من شبكة المستخدم» والنظام» والمعلومات. 


تطبيقٌ عمليات تعمية (تشفير) البيانات» كلما كان ذلك ممكناً. 

استخدام شر كاءَ معتمدين موثوقين عند تبادل البيانات. 

التنصيبٌُ الفوري لرُقَع البرمجيات المتوفرة حالياً. 

Go‏ المستخدمين الخارجيين والداخليين على أجهزة التحكم بكلمة 
peel SIU jaye‏ اعمات 

الأمنُ المكاني لغرفٍ التجهيزاتٍ وأنظمة استرجاع بيانات البرمجيات» 
Stila‏ إدارة الاستخدام المسموح والمحظورء ومراقبة الإدارة» 
ومتطلبات خصوصية المستخدم. ١‏ 

عملية تحليل السبب الرئيسي وراء «ما حدث» عندما تقع الأحداث غير 
المتوقعة. 

خطةٌ شاملة duly‏ لاستعادة الخدمة والمعلومات يمكن إطلاقها فوراً 
عندما تقع الكارثة. 

سلسلةٌ هرم المسؤولية الإدارية لكبح المشاكل الصغيرة سريعاًء 
لصيف الحؤارد. fod‏ المشاكل ae pnt SY‏ 


تبنى هذه الطبقات فوق بعضها البعض تدريجياً وبشكل متعاضد GES‏ بنية 
الأفن be‏ سبيل Le‏ تسعطيع»سياسة Gee U a‏ من 'الهوية متم 
المستخدمين المجهولين من تحقيق النفاذ إلى الشبكات والأنظمة:» UÍ‏ 
المستخدمون المعروفون فيستطيعون الدخول وإنجارٌ عملهم مع وجود نظام رقابة 
وتفتيش آليّ حول ما قاموا بعمله ومتى قاموا به. SUL G‏ من المصادر 
الغارجية"الموقوفة ULI weld Cid aie) bad‏ ارماك Biren‏ ل 


قيمة أصول المعلومات 


تشكل اترما ت فة pthc UE SIL‏ ولأنظعها ASW‏ الى 
يفترض أن تستخدمها OVS Uy‏ الحكومية التي es‏ النفاد إليها. فعلى سبيل 
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المثال: لم تكن مخازن Wal-Mart‏ لتستطع العمل بفعالية لولا إنشاؤها 
مستودع بيانات بسعة 30 تيرابايت يتابع التكلفة» والربح» والمدة الزمنية لتخزين 
المنتج» وحسابات أخرى متعلقة بكل منتج تمّ بيعه» وذلك في كل مخزنء 
خلال السنوات الخمس الماضية. 

ما كان لشركات الطيران العالمية والمحلية الرئيسية أن تستطيع أن تجدول 
وتقوم بملاحة الطائرات ببلايين الدولارات بشكل فعَال» ولا أن JARS‏ نماذج 
تعظيم دخلهم» لولا استخدامهم قواعد بيانات معقّدةٍ وأنظمة المعلومات التي 
Jag‏ تكلفة استبدالها بأكثر من عدة بلايين من الدولارات. 

إن خطة معنن ف وو كاوه nae‏ و ايفان 
اكسبريس» تبنى حول ot‏ بياناتِ استخدام البطاقة» ومتابعة الحسابات» 
وتحليل الغش» وإرسال الفواتير للزبون» ومعلومات استلام المبلغ» وذلك كله 
من أجل مئات الملايين من بطاقات الائتمان والشراء. إن القيمة الإجمالية 
لقواعد بيانات هذه الشركات وأصولٍ معلوماتهم تقدر بمئات البلايين من 
الدولارات - أكثر من الميزانيات السنوية لجميع دول العالم باستثناء الولايات 
المتحدة الأمريكية واليابان. 

إن المؤسسات التجارية» المشاركة فى سوق المال وفى المنشآت المالية» 
لن تكون قادرةً على فتح أبوابها ما لم تملك الثقة بدقة Slagle‏ المستخدمة 
في إدارة المؤسسة ومعرفة قيمتها وتقدير الأرباح العائدة منها. فالمعلوماث 
الدقيقة والموثوقة هي دعامة مركزية لشفافية السوق وثقة المستثمر. 

من oul‏ تمك التعلوعات قيمتها؟ جريا مد كرك قادرا على الاستفادة 
Qe‏ كثيرا من أجل WL wh Ges‏ وتخليلية وإدارية والجعمافية atts‏ 
تزداد قيمة المعلومات عندما تُجمعُ وتثبتٌ كمعلومات دقيقه» وذلك في كل مرة 
تحدث فيها عملية تجارية ناجحة أو استخدام ناجح» ويتراكم تزايد هذه القيمة 
لأن كل عملية تجارية ناجحة Gop‏ إلى عملية تجارية ثانية وبعدها ثالثة» . 
الخ» طوال الوقت. فالصفقة الواحتدةٌ ببيع مئة سهم على سبيل المثال يمكن 
أن تتسبب بصفقات شراء أسهم أخرى»ء وبصفقات لبضائع رأسمالية مثل 
السيارات» أو الشاحنات» أو الطائرات» أو الممتلكات» والتي مع مرور الوقت 


CE)‏ وهي كبرى OE‏ التجزئة الأمريكية. 
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ستطلق صفقات لموجودات أخرى» ولصيانة وحفظ المركبات والممتلكات» 
ولتوظيف كوادر بشرية. تفيد المعلومات الدقيقة» عندما ينظر إليها من الناحيتين 
المالية والتجارية نظرة شمولية من البداية إلى النهاية» في الحصول على 
الكسب المالي القائم على التعاملات أو الصفقات» وعلى الاستفادة من 
E hs, ee al‏ ناه الو اتاو وغل الشوافاف ارو E‏ 
ستكون معقدة أو غالية التأسيس بدون هذه المعلومات. l‏ 


تبلورت الفكرة التي تقول بأن للمعلومات قيمة كبيرة من قبل الدكتور 
ديفيد نو OV‏ في مقالته في Harvard Business Review ilma‏ في عام 1982 (Nolan,‏ 
ceils »1982(‏ من قبله ومن قبل آخرين منذ ذلك الحين. قدم نولان عام 2001 
الفكرة القائلة OL‏ قيمة أنظمة المعلوماتء. بالنسبة إلى المنظمات» تزداد عبر 
سلسلة من «مراحل» تطور التقنية ابتداء من عهد الحاسوب المركزي الضخم عام 
0 إلى عام 1980 إلى عهد الحاسوب الصغير من عام 1980 إلى عام 1995 
وإلى عهد الشبكة (الإنترنت) اليوم. إن القدرة على توسيع استخدام المعلوماتِ 
لأغراض cial‏ وغير متوقعة أحياناً» as‏ فى a) ol ell‏ كن ترون بان 
200 استخدمت الإنترنت لتتفاعل مع 400,000 زبون لتجريب نسخة 
«بيتا» من برمجيات «ويندوز 95). إن الاستجابة للملاحظات المستلمة من هؤلاء 
aa‏ ل ld ke‏ 
المنتج قبل إطلاقه الأخير ذ فى السوق. إن تَوفْرَ إمكانية استخدام الإنترنت كنظام 
(aos‏ و e E‏ اياده “وكا لك ترق الخو سني امامل مقن 
أتاح لشركة مايكروسوفت اختبار نسخة «البيتا» من قبل غات الكلات من 
الأشخاص - في حين تضمنت تجربة الإصدارات السابقة نسبة ضئيلة من 
«ost!‏ وبالتالي لم تحط يبيئة:الحتبار متعددة كالتي حظئ بها نظام ويندون 95 

بينما يتفق معظم كبار المديرين والمدراء التنفيذيين على أن المعلومات تملك 
قيمة فعلاء إلا أنهم WE‏ ما يحسبون هذه القيمة على أساس تكلفة جَمعِها وصّونها 
وإدارتهاء بدلا من القيمة المتوقعة التى ستكسبها المنظمة من خلال الاستفادة من 
المعلومات لتحقيق أهداف الشركة ودعم حاجات زبائنها بطرق غير مخطط لها 
Jes Gs‏ نيل الا OW padres‏ شرك اكيت وي) ولديل pls) Pa‏ 


Gateway and Dell (+)‏ وما من كبرى شركات الحاسوب. 
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الآصل مصنعي حواسيب شخصية) قواعد بيانات الزبون الضخمة لديهم» لتسويق 
Seip ELTE RE SA as Sle Ny lena lacs‏ 
الرقمية» ومنتجات أخرى لم يُخطّط لها في نماذج عملهم ALAN‏ 

هدف العديد من مبادرات الحكومة الالكترونية» منذ عام 1996» إلى 
توسيع قيمة المعلومات الحكومية المتراكمة وزيادة الاستفادة منهاء فعلى سبيل 
المثال» لقد أنشئ العديد من البوابات على شبكة الإنترنت من قبل الحكومة 
الفيدرالية للولايات المتحدة لإتاحة وصول المواطنين إلى معلومات مثل: إعادة 
مال الضريبة» وفرص التعاقد» ومعلومات حجز مواقف السيارات» ومعلومات 
إجازات وتراخيص السواقة» ووضعية التشريعات قيد الإعداد». والبيع والتوزيع 
الالكترونى للمنشورات الحكومية» والعديد من الخدمات الأخرى. إن إدراك 
eNotes ci‏ العكرفية إلى امات ر ahela‏ 
الانتفاع من قواعد البيانات الحكومية عن طريق بوابات نفاذ متوفرة طيلة 24 
ساعة وعلى مدار الأسبوع بدون زيادة التكاليف الثابتة التقليدية من موظفين 
ومكاتب وأنظمة اتصالات. 


قد تملك الشركات والمنظمات الصغيرة أيضاً قيمة كبيرة في المعلومات 
التي لدى شركائهم وزبائنهم» فبإمكان صانعي السلع والخدمات الفريدة» أو 
مزوديهاء أن يستفيدوا من المعلومات حول أولويات الزبائن أو احتياجاتهم 
لخلق أسواق جديدة للشركة» كما فعلت شركتا «ديل» و«غيت وي). وقد تدمج 
المعلومات» بعد جمعها والتأكد منها لهدف معين» مع قواعد معلومات الآخرين 
المتوفرة تجارياً وذلك لمعرفة توجهات السوق مع الزمن ولمعرفة فرص تسويق 
منتج من فرص منتج آخر. على سبيل المثال: قد يشتري صانعو البيانو قاعدة 
معلومات من صانع جهاز تسجيل الصوت عالي الدقة ليروا ما إذا كانت الزبائن 
ترغب بتسجيل معزوفاتهم الموسيقية. يهتم صانعو بطاريات آلات التصوير 
الرقمية والهواتف النقالة كثيراً فى قواعد GUL,‏ الزبائن المتوفرة لدى مخازن 
oY!‏ التصوير وشركات pies‏ إن شركات التأمين التي تمنح «بوليصات» 
التأمين ضد التخريب والسرقة لهذه المنتجات ستكون مهتمة Glo Lal‏ من 
هذه المعلومات. l‏ 

إن الفكرة القائلة ob‏ للمعلومات قيمة هي فكرة مهمة جداً بالنسبة إلى 
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الشركات والحكومات. فإذا كانت للمعلومات قيمة ضئيلة (أو لا قيمة لها Cad‏ 
بالنسبة إلى المنظمة التي تقتنيها أو تجمعهاء فسيكون هناك مبررٌ ضعيفٌ لتقوم 
هذه المنظمة بإنفاق الموارد لحمايتها. إذأ OF‏ القيام بتحديد قيمة معلومات 
المنظمة هو مسؤولية إلزاميةٌ بالنسبة إلى المدير التنفيذي أو الإدارة العليا باعتبار 
أنه يترتب على هذا القرار العديد من الأفعال حول تحديد أو إباحة النفاذ إلى 
المعلومات» والأنظمة والشبكات. إن المهم ليس تحديد القيمة الدقيقة 
للمعلومات بل تحديد وجود قيمة (كثرت أو قلّت) Cod‏ حمايتها من الفقدان أو 
سوء الاستخدام أو الإفساد. 


تحديات ومسؤوليات وأمن المعلومات 

مع التزايدٍ المستمرّ للتعقيد التقني» والمصاعب القانونية» وتوقعاتٍ حماية 
الخصوصية» ارتفعت تحديات أمن المعلومات بشكل متسارع خلال السنوات 
الخمس الماضية. إن الانتشارَ الكبيرَء مع نهاية التسعينيات من القرن الماضي› 
في استعمال التطبيقات المعلوماتية القابلة للعمل مع الإنترنت «(web-enabled)‏ 
وتزايد حصة هذا الانتشار في سوق الأسهمء غالباً ما دفع بمرتبة عمليات أمن 
المعلومات إلى مستوى الأفضلية الثانى أو الثالث. يستمر العديد من الأنظمة 
المالية وواجهات نفاذ المستخدمين للنظم الحاسوبية» التي تحتاج إلى أن تكون 
محمية بشكل عال» باستخدام كلمات سر مؤلفة من ستة حروف» وذلك بسبب 
الخلاف المستمر ضمن صناعة الحاسوب حول الموازنة بين درجة حرية 
المستخدم وحماية النفاذ للمعلومات. 


إن الجريمة الحاسوبية الانتهازية هي الآن مجرد ضغطة أو ضغطتين على 
لوحة مفاتيح الحاسوب وهي في متناول أي شخص يستطيع - Wey‏ يفعل - 
lal fod‏ فطع Of CGO) aS be Ul ole‏ دی امن 
المعلومات على دراية بكيفية عمل هذه Cole‏ كما أن الشبكات ا 
Cae ers Cee e‏ الأول ل «جدار 
النار». أما الشبكات التي تبنى بشكل غير صحيح؛ أو لا hL‏ آلية دائمة 
Ien‏ اا أو أنها غير موائمة بشكل مستمر - تذكر بأن الحماية عبارة 
عد ا cea‏ و لمت و spel‏ ة واحدة ‏ فإنها UE pale‏ بنجاح مع 
Sob}‏ المعلومات أو الحصول عليها بشكل غير شرعي. 
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تتضمن التحديات التي تواجهها إدارات تقنية المعلمات ما يلي: 

1. معرفة من يمكن له ومن لا يمكن له الوصول إلى المعلومات» 
والأنظمة والشبكات. فأحياناً قد MEY‏ سجلات الموظفين الدقيقة بسرعة إلى 
إدارة تقنية المعلومات» أو لا تُحمّظ على الإطلاق في أحيان أخرى» مما يؤدي 
إلى قرار السماح بالنفاذ (أي) «الترحيب» الخاطى. 


pte 2‏ فهم الفرق بين العديد من تقنيات أمن المعلومات المختلفة 
والمتفيارية ا LS ge Bb gly‏ العدية ce‏ الشر ودين 


CS 3‏ صدور معايير أمن معلوماتِ ELLE‏ متفقٌ عليها من قبل جميع 

ف التحافظلة Fide le‏ هدس GL‏ السريعة هد القدروييات» 
والديدان» وأحصنة طروادة» وهجمات الحرمان من الخدمة (DoS)‏ بالإضافة 
إلى التفخخص المستمر للشبكة وللنفاذ إليها من القراصنة والمخترقين الذين 
يحاولون الوصول إلى المعلومات القيّمة. 

5. تطويرَ وصيانة سجلات إدارة هيكلية منظومة المعلومات المتعلقة 
بمستويات «ترقيع» برمجيات أمن المعلومات» وذلك لكل من الأنظمة الحساسة 
وغير الحساسة. 


6. معرفة أين يجب تطبيق Aut ole J ÉD‏ من fel‏ الحميول de‏ 
أفضل النتائج لتقليل تأثر نظام المستخدم أو نظام الإنتاج بالهجمات» على سبيل 
المثال: إن أنظمة البوابات الموصولة مع الشبكات العامة هي عادة خط الدفاع 
الأول» ويجب أن تملك المستويات الأحدث للبرمجيات» مقارنة» مثلاء 
بالنظام المكرس لطباعة بطاقات الترميز بالخطوط على خط إنتاج البضائع. 


z 


والأنظمة. 


8. معرفة من يمكن أن تثق به من المزودين والشركاء والزبائن من أجل 
تزويدك بالمعلومات. فليست كل المعلومات سواء ‏ فقد تحتوي مرفقات البريد 
الالكتروني على فيروسات أو ديدان» وقد تحتوي الصور على رسائل محشوة 
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(تعمية معروفه ب «(Steganography‏ ومن الممكن أن تحتوي الملفات «القابلة 
للتنفيذ» على «أبواب مفخخة» أو «قنابل موقوتة). 

9. جذب مهندسين مؤهَلين في أمن المعلومات واستبقائهم من خلال 
تحديات شخصية وتعليمية. 

0. توفير ميزانيات كافية من أجل مزودي الخدمة والموظفين والأجهزة. إذ 
إن أمن المعلومات مطلبٌ يومئٌ من متطلبات العمل مثل إبقاء الأضواء مشتغلة 
والهواتف شغالة. 

تستمر التحديات القانونية بالازدياد مع بداية فهم المحامين لعناصر التقنية 
والآثر المالي والتشغيلي الذي ينتج من فقدان معلومات قَيّمة لصالح مستخدمين 
غير شرعيين. يلام مطورو التقنية والمجهزون ومزودو الخدمة» باستمرار» لعدم 
تصميمهم أنظمة أو برمجيات آمنة» ولعدم التخطيط لمواجهة جميع سيناريوهات 
الأمن الممكنة. كما أن إدارة تقنية المعلومات تلام لعدم قيامها بكل ما هو 
ممكن لتوظيف أفضل الوسائل الدفاعية ضد النفاذ المحظور أو فقدان 
المعلومات. يلام المستخدمون المهملون أيضاً على فقدان أو مشاركة كلمات 
السّر» والمعلومات الأمنية» وهوية المستخدم» مخالفين بذلك سياسة المنظمة 
أو الشركة» وبالطبع فإن القراصنة ‏ عندما يعثر عليهم ويتم تحديدهم ‏ يعتقلون 
ويزجون في السجن. 

ومع ظهور he‏ الحاسوب الخطيرة بشكل أوسع فأوسع» يتزايد اللوم 
على الإدارة العليا والإدارة التنفيذية لتقنية المعلومات» وغالبا ما يقال: «كان 
عليهم أن يعلموا أن حدوث هذا أمر محتمل». وإذا ما أخذنا بعين الاعتبار تزايد 
سرقة الهوية والمعلومات Ld‏ فإننا نستنتج بوضوح أن من الواجب على 
إدارة تقنية المعلومات أن تخطط لسيناريوهات الحالة الآسوأء بالرغم من أنها قد 
تكون قليلة في العدد. 

من ناحية ثانية يجب على الإدارة العليا والإدارة التنفيذية لتقنية المعلومات 
أن تستبقي على وضعية التيقظ في كل ما يمت بصلة إلى gal‏ المعلومات باعتبار 
أن !في ceed ey UGG tye ees A eee‏ 
فقدان ثقة الزبون» والمعلومات غير الموثوقة» ونفقات إصلاح ما حدث. 


يُشكل التزوير المتعلق بالإنترنت أكثر من 55 / من بين ما يزيد على 
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0 شكوى زبائن سجلتها «المفوضية التجارية الفيدرالية الأمريكية» في عام 
3. ووفقاً لهذه الوكالة» يشكل ذلك تزايداً بنسبة تربو على 45/ عن عام 
e2002‏ 555 الوكالة Lal‏ أن متوسط خسارة ضحايا التلاعب المتعلق بالإنترنت 
كانت 195 دولار. وكانت سرقة الهوية الرقمية أكثر الشكاوى شيوعاً للسنة 
الرابعة على التوالي ممثلة 1/42 من جميع الشكاوى في عام 2003 )2004 (FTC,‏ . 


لسوء الحظ فإن مسؤوليات الفريق التنفيذي لتقنية المعلومات» المتعلقة 
بالمحافظة على المعلومات الشخصية والمدنية والمشتركة» تستمر بالاتساع من 
خلال التشريعات الجديدة» وتوقعات قوى السوق» والغرامات التى تفرضها 
المحاكم. فعلى سبيل المثال: منذ عام 1996 أصدر الكونغرس الاي العديد 

من القوانين LW‏ فيها: [HIPPA,GLBA,21C.F.R.PART11 (FDA DRUG‏ 
MUNUFACTURE), Sarbanes-Oxley AND E-SIGN]‏ الت تحدد كيفا يجب 
أله کي الا ات ا E‏ و وا أذ كف يجري ضمان 
شفافية وصحة المعلومات المعتمدة. 


في عام 2003م بدأ قانون «لا تتصل هاتفياً» بالتطبيق مانعاً اتصالات تسويق 
السلع التي تجري بواسطة الهاتف عن معظم الشركات الخاصة التي لبس الها 
علاقة قائمة مع الزبون تبرر الاتصال. لقد أقنعت القوى المناهضة لطريقة 
التسويق عبر الهاتف الكونغرس للتغلب على تحديات القانون الحالية. إن مؤيدي 
الخصوصية الشخصية مثل الاتحاد والمركز التاليين: 

Electronic Frontier Associations National Law Center‏ يراقبون بفعالية 
أحداث سرقة الهوية» وردود أفعال الشركات حيال اعتماد طرق مبتدعة GAY‏ 
سرقة المعلومات ذات الخصوصية» ويدعمون مساندة ضحايا هذه الجريمة. إن 
مويق ae‏ هؤلاء وآخرون Lal‏ مستاؤون مثلاً من الاستخدام المقترح 
لبرنامج 5 تفحص المعلومات الخاصة بركاب الطائرة المسمى «CAPPS2‏ الذي 
يصنف أهم المعلومات حول هوية كل راكب (eee‏ الجمع بين قواعد 
المعلومات الخاصة والعامة. لقد صرحت مصادر حكومية بأن المعلومات عن 
الراكب الموجودة في قاعدة بيانات CAPPS‏ سوف تحذف بعد أن تنتهي 
الرحلة ell‏ ة «als‏ إلا أن مؤيدي الخصوصية لم يبلغوا بتفاصيل ذلك. بدأ 
بعض ركاب الطائرات برفع دعوى قضائية بشكل مستقل ضد حصول الخطوط 
الجوية على بياناتهم الشخصية. ولكنه لا يعرف الان ما هي البدائل القابلة 
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للتطبيق - إن وجدت - لعملية التفحص هذه التق تمارسها شركات الطيران. 

إنه لأمر محتمل» من وجهة نظر تقنية المعلومات» أن تتم مطالبة الشركات 
التجارية والمنظمات الحكومية بتزويد معلومات تمس خصوصية الزبون أو 
الشركة لتستخدم لأهداف التفحص الأمني. ومن المرجح أن الزبائن والشركات 
سيكونون مستاءين جداً من هذا الوضع» وسيحاولون ممارسة ضغوطات يسمح 
بها نظام السوق الحر مثل - مقاطعة الشركات التي تُسرّب المعلومات» ورفع 
وتطبيقها. إن الاستجابة لهذه الحالات ستزيدٌ من التكاليف التشغيلية لإدارات 
تقنية المعلومات من جهة» Week‏ من العقوبات المالية والقانونية لعدم 
الاستجابة من جهة أخرى. 

لقد بدأت المحاكم تأمر بالتعويض في قضايا خطأ بعض الشركات الشائن 
فى مسائل الخصوصية الشخصية» مثل سرقة بطاقة الائتمان لأعداد كبيرة من 
الأشخاص من قواعد بيانات الشركة المحمية بشكل رديء» وسرقة سجلات 
تقنية المعلومات أن يكونوا واعين لهذه التوقعات والتحديات القانونية» أثناء 
تخطيطهم الإستراتيجي للاستثمار وللتقنية» لكي تؤخذ هذه التغيرات بعين 
الاعتبار فى الأنظمة والعمليات الموجودة بكلفة أقل منذ البداية» بدلا من أن 
تضاف فى اللحظة الأخيرة بتكاليف كبيرة. 
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القسم الأول 


قضايا الحوكمة 


الموازنة بين سهولة النفاذ والتحكم به 

كيف تقرر الإدارة من الذي يسمح له بالنفاذ إلى بعض المعلومات» ومن 
لا يتوجب عليه النفاذ إلى معلومات أخرى؟ هل يعني السماح لكل الأشخاص 
بالوصول إلى جميع المعلومات الفقدان الكامل لسيطرة الإدارة؟ كيف يمكن 
إدارة التحكم بالمعلومات مع تلبية رغبة الزبائن ob‏ يحصلوا على النفاذ 
المباشر لمعلوماتهم على مدار 24 ساعة وطوال الآسبوع» من خلال بوابات 
الإنترنت العامة؟ 

يستعرض هذا القسم عدة مواضيع رئيسية حاسمة تتعلق بآليات الموازنة بين 
سهولة النفاذ والتحكم به. الموضوع الأول يعالجه الفصل الثاني من هذا الكتاب 
وهو فصل واسع حول التنسيق بين متطلبات الأمن والإجراءات المضادة» 
وعمليات الشركة» وهى pole‏ تتطلب قرارات جوهرية من الإدارة العليا 
وتوجيهات Whe‏ باعتبازها تشكل bY!‏ العام للهيكلية الإدارية dads‏ 
المعلومات ككل» وللتقنية المشتراة لدعمها. 

بعد ذلك» وفي الفصل الثالث» SE‏ مناقشة مسهبة حول حماية معلومات 
الزبائن - وهي عنصر أساسي في كل خطة Glas‏ بأمن el ae eg a‏ 
الرابع وهو فصل رئيسي على المحاور المتعددة لإدارة المخاطر خصوصا: 
الأشخاص» والعمليات» والتقنية والتسلسل الهرمي لأجهزة التحكم. 

توجد في نهاية هذا القسم مناقشات حول تكاليف عائدات برامج أمن تقنية 
المعلومات» ومدى الاطمئنان إلى الأنظمة المونّقة» وأفضل الممارسات فى 
Je‏ مشازكة البيانات l Abell ge‏ 
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الفصل الثاني 


التنسيق بين متطلبات الأمن» 
والإجراءات المضادة والعمل 


كريج اي. كوشر 


جامعة الدفاع الوطني» OLY SI‏ المتحدة الأمريكية 


المقدمة 

hts‏ مرةً أخرى» إحصائياتٌ نهاية السنة الأخيرة الصادرةٌ عن مركز 
التنسيق CERT (CERT-CC)‏ في جامعة «Carnegie Mellon‏ عدم وجود ما يكبت 
التحسّنَ في الاطمئنان على المعلومات. إن مجموعة الحوادث التي أبلغ عنها 
ل (CRET-CC)‏ مجددا قد وصلت إلى ضعف تلك الخاصة بالسنة السابقة 
chy i‏ وتجاوزت للمرة الأولى العدد ذا الأرقام الستة 137,529 المسجل عام 
(CERT, 2004) 2003‏ . 

إن المسوحات المتعددة» لمجتمع شركات الأعمال» قد قدّرت تكلفة 
انتهاكات أمن المعلومات ببلايين الدولارات. ولقد pAb‏ المسح الذي أجرتة 
شر ås‏ الأمن (Trend Micro)‏ تكلفة المخاطر الناتجة من فيروسات الحاسوب 
وحدها ب 55 بليون دولار في كل أنحاء العالم في عام 2003 )2004 (Reuters,‏ . 
وقد أوضحت LE‏ مسح آخر GAS‏ حكوماتٍ ومدراءَ شركات من أنحاء العالم» 
أجرته شركة i ola «(Price Waterhouse Coopers & CIO Magazine)‏ 
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أولوياتهم في عام 2004 يجب أن تكون رفع وعي المستخدم )2003 (CIO,‏ . 
وهذا يشير إلى أن التشديد على أهمية أمن المعلومات» عبر المنظمات من قمة 
إذازتها إلى قواعدهاء لا يزال Lat‏ 

تستمر المنظمات الحكومية أيضاً بالسعي الحثيث إلى ضمان أمن 
eS died) al li‏ السكرفية الفيدوالية فق الات اة 
NI‏ ترك ae‏ عن قيعت lad tiles‏ وناك BS Gels id)‏ 
تقرير كانون الثاني / يناير لعام 2003 الصادر عن مكتب المحاسبة العامة (General‏ 
Accounting Office - GAO)‏ أن العديد من الوكالات الحكومية الفيدرالية قد 
لاحظت «الانتباه المتزايد والشعور بالمسؤولية من قبل إدارتها في مجال أمن 
المعلومات» وذلك منذ صدور تشريع قانون إصلاح أمن المعلومات الحكومية 
في عام 2001م» ولكن «على الرغم من تقدم هذه التحسينات إلا أن التحقيقات 
الحديثة مع أربع وعشرين وكالة» تعتبر من أضخم الوكالات الفيدرالية» أظهرت 
ضعفاً كبيراً في أمن المعلومات» الأمر الذي يجعل العمليات الفيدرالية الحساسة 
والأضول فى كل .من هذه الؤكالات فى خطرا )2004 (GAO,‏ .يحدد هذا 
التقرير» 98 وجه الخصوصء أن إدارة ae‏ أمن المعلومات والتحكم بالنفاذ 
هما نقطتا الضعف الأكثر شدة في أغلب الأحيان. في الواقع إن إدارة برنامج 
أمن المعلومات المُعرّفة من قبل (GAO)‏ على أنها: «إطار العمل الذي يضمن 
ob‏ المخاطر قد فُهمّت وبأن آليات التحكم الفعّالة قد اختيرت وطَبّقت كما 
با كانت USES‏ الوسيدة الى ey‏ بجيف فى كل MSs‏ ھن الو قالات 
الأربع والعشرين الرئيسية aah wall‏ إن عد افيف good‏ عن نتيجة التحقيق 
الذي أجرته ال (GAO)‏ في السنة التي سبقتها. 

لماذا تبقى إدارة برنامج أمن المعلومات نقطة الضعف لدى JS‏ وكالة 
فيدرالية تقريباً؟ ولماذا انعكس هذا الأمر Lat‏ على عالم الشركات؟ قد يتساءل 
المرء كذلك لماذا يبقى نشرٌ الوعي الهم الأعلى» بالرغم من هذا الانتشار 
الواسع والتأثير الكبير للحوادث. ما هي العقبات التي تواجه كلا من الصناعة 
والحكومة في إعطاء صفة الهيكلية المؤسساتية لموضوع أمن وتأمين المعلومات 
في عصر المعلومات؟ 

عندما يسمع العديد من الأشخاص بمصطلحات تأمين أو أمن المعلومات» 
فإنهم ينصرفون إلى التفكير في المشكلات. مما لا شك فيه أن ذكر مصطلحات 
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تأمين أو أمن المعلومات للعديد من الأشخاص اليوم» يذكرهم على الفور 
بالمشاكل التي عانوها شخصياًء أو عانتها منظماتهم مع آخر جولة من جولات 
البرمجيات الخبيثة» ال (malware)‏ . أحياناً وفي المنظمات التي تتعامل مع 
معلومات أكثر حساسية أو سرية» يفكر الأشخاص المعنيّون بمشكلتهم CSV‏ 
ألا وهى التهديد من داخل المنظمة. 
قد يقول الأفراد المطلعون تقنياًء وعن قناعة راسخة»ء أن المشكلة تكمن 

بشكل رئيسي في انتشار توزيع واستخدام البرمجيات غير الآمنة أصلاً. من جهة 
أخرى» إن الأشخاص الذين يقرأون الكثير من المنشورات العامة والقصص 
الإخبارية قد يقولون بأن المشكلة الكبيرة في أمن المعلومات اليوم تكمن في ما 
هو لاسلكي. 

...إن لوم ما يسمى بالقراصنة (hackers)‏ شائع جداًء إلا أن هذه الفكرة قد 
عف عليها الزمن. 9 des‏ أشخاص Lal‏ يحبون أن يظهروا لنا على أنهم مفكرون 
الكريستالية السحرية» ليتنبأوا بالمستقبل» يَدّعون AKS Ob‏ جديداً من الإرهاب» 
إرهاب ال (cyber)‏ يحوم OV‏ فوقنا وأن هذه المشكلة كبيرة وكبيرة جداً. 


إن هذه النظرة إلى تأمين المعلومات نظرةٌ سلبية في أحسن الأحول. وغير 
مجدية البتة في أسوأ الأحوال. في الواقع قد تكون النقيض لحقيقة الأمن JES‏ 
للمعلومات. OY‏ حصر المشكلة في بضع مهدداتٍ ye‏ معلوماتك وأنظمتك» 
رغم وجود العديد من هذه المهددات. وكذلك في بضع ثغرات في معلوماتك 
وأنظمتك» رغم وجود العديد العديد من هذه الثغرات» هو أمرٌ يجعل مُعالجتكَ 
للمسألة خارجة عن السياق الحالي لهاء ويتجاهل متطلبات أمن المعلومات» 
وربما سيؤدي إلى منهجية ترقيعية للحد من المخاطر المستقبلية على معلومات 

لذلك إذا Gow GŠ‏ أكبر في «المشكلات»» قد نبدأ بطرح بعض الأسئلة 
+ 

هل JS LS‏ ما بوسعنا القيام به من أجل حماية جميع الطرق المحتملة 
التى من خلالها يمكن أن تدس الفيروسات والديدان والبرمجيات الخبيثة 
الأخرى (malware)‏ داخل بيئتنا؟ 
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ماذا نفعل كي نحدد ما إذا كان pastel!‏ الجديدٌ للوظيفة» أو الموظفٌ لدينا 
من فترة طويلة» يمكن أن يُشكل تهديداً داخلياً ماكراً؟ وكذلك ماذا نفعل على 


هل نحن مُضطرون lie‏ إلى جعل منظمتنا جزءاً من اختبار (Beta)‏ العالمي 
jae‏ الأخيرة من “Server Software X)‏ قبل أن نملك yar‏ التأمين حول 


أمنها وثباتها؟ 


منذ سنوات قليلة مضت» قلق الأشخاص القائمون على أمن المعلومات 
Slits‏ المودم الخبيث (Rogue modem)‏ الذي سمح ب «باب خلفي» أو قناة 
سرية إلى البنية التحتية للمعلومات. قد تكون المشكلة OV)‏ مع الشبكات 
اللاسلكية أكبر بكثير» إذ بينما يسمح المودم الخبيث لمستخدم واحد فقط 
بالنفاذ إلى محطة العمل المحددة LUG‏ قد pa‏ نقطة النفاذ اللاسلكي الخبيثة 
في المكان الخاطئ Lal LL)‏ أو وصولا سرياً لعدد غير معلوم من 
التهديدات المحتملة. 


فد نعتقد Lal‏ أن إدارة نظام المعلومات (the sys admins)‏ أو أشخاص 
الشبكة (the network guys)‏ يقومون بالاهتمام باحتياجات أمن معلوماتنا. 
ولكن» الست هذه المهمة تبدو وكأنها قد أتت من مصدر خارجى؟ 


ومن قد يرغب بمهاجمتي أنا الإنسان المسكين» المتقدم في السن» 
والجالس هنا على حاسوبي المكتبي» أهتمٌ فقط بشؤوني الخاصة» وأقوم بعملي 
الذي لا يهدد Gi‏ شخص؟ 

كينا :ذا at‏ مقط eels‏ الوا T‏ روصي ات افون LS‏ 
ب «مشاكل» تأمين معلوماتناء نكتشف مجموعة من Lo pall‏ والوظائف» 
والمسؤوليات» كما نكتشف مجموعة من الاعتقادات» ولا نعرف من المسؤول 
عنها جميعها!!» ونكتشف أنها ليست منتشرة فى جزء واحد فقط من المنظمة» 
بل في المنظمة بأكملها. l‏ 


إننا اليوم في GLI‏ دائم مع المعلومات وأنظمة المعلومات» في المنزل 
وفي العمل وفي كل موقع. وفي الطريق بينهما. ربما أصبحنا غير واعين» بأننا 
على استخدام دائم للمعلومات وتفاعل مستمر مع الأنظمة. 
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لدينا احتياجات متنوعة» sree‏ وفى سياقات مختلطة» تجعلنا 
بحاجة إلى الاهتمام بأمن المعلومات. وقد تتغير متطلبات أمن المعلومات هذه 
عندما ننتقل بين عملنا وحياتنا الشخصية. 


تزداد وسائل تأمين المعلومات من حيث الكمية» كما نأمل أنها بازدياد 
أيضاً من حيث النوعية» ولكن هل تزداد بسرعة كافية؟ وهل ندرك ونوظف 
بفاعلية جميعَ الوسائل اللازمة لتلبية الحاجات؟ 

إن المشكلة الحقيقية في أمن المعلومات اليوم» هي أننا قد لا ندرك 
السياق الكامل الذي توجد فيه المعلومات المتوفرة والمستخدمة من قبل 
منظمتنا. فمن الممكن أن يكون لدينا نقص في فهم متطلبات أمن المعلومات» 
ومن المحتمل أننا لا نعلم ما هي الوسائل والوظائف والمسؤوليات اللازمة لتلبية 
متطلبات أمن المعلومات هذه. 


يحتاج المدير التنفيذي أو كبير الإداريين» وعلى كل المستويات في 
المنظمة. أي مستوى الإدارة العليا والمستوى الاستراتيجي والمستوى التنفيذي» 
إلى الإلمام ee‏ أدنى من الوعي في فهم العلاقة بين هذه الأمور الثلاثة: 
السياق» والمتطلبات والوسائل. ففهم كل من هذه الأمور بالإضافة إلى فهم 
العلاقة فيما بينهاء يعد هاماً لكل من مسألة أمن المعلومات ومسألة هيكلية 
المنظمة أو الشركة. 


سيركز هذا الفصل على جمع BW‏ توجهات بازغة» آلا وهي : «متطلبات 
أمن المعلومات»» و«هيكلة المؤسسة»» و«الدفاع المعمّق عن المعلومات». 
وتستطيع هذه التوجهات أن JRE‏ إطاراً للعمل بأسلوب منسق يَشرحٌ متطلبات 
تأمين المعلومات الخاصة بكل هيكلية إدارية» بالإضافة إلى تحديد طرق فعالة 
للحد من المخاطر. من الضروري إقامة العلاقة بين هذه الاتجاهات الثلاثة 
وفهمها: متطلبات أمن المعلومات» و«هيكلة المؤسسة» وإجراءات «الدفاع 
Gorell‏ عن المعلومات». 


إن فهم هذه العلاقة GSS‏ المنظمات في JS‏ من القطاع الخاص 
والحكومي من زيادة فعالية برامج أمن المعلومات لديها إلى الحد الأعلى. 
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ماذا نريد؟ 


إن الخطوةً الأولى في بناء برنامج JUS‏ لتأمين أو أمن المعلومات» هي 
أن نفهم اما BG‏ ا غب «بالأمن» أو «التأمين». ما هي النتيجة 
المحددة التى نرغب بإدراكها؟ 


فر في مثالٍ بناء منزلٍ لك. إن المتطلب الذي يريده كل شخص تقريباً 
غ ede cla‏ هو أن oye‏ ذلك dpe‏ اهنا وخاد هن A‏ أن اول 
لمن ya‏ اه ابن erly aa Vang)‏ يعد ذلك Spall‏ 
على ما طلبته تماماً؟ قد تؤوّل عبارة «آمناً ومحمياً» Gy‏ مختلفة عديدة تبعاً 
للدور الذي يلعبه الشخص في عملية البناء. 


ماذا تعني عبارة «آمن ومحمي» بالنسبة إلى الوالدين اللذين لديهم العديد 
من الأطفال الصغار؟ هل عبارة امصمم لمقاومة صدمات الأطفال» ستكون 
أكثر دقة؟ وعلى الجانب الآخر من le‏ العُمر»ء قد تعني عبارة «آمن ومحمي» 
للزوجين المتقاعدين الكبيرين في السن تصميما منزليا مختلفا تماما. 

قد تملك Sle‏ «آمن ومحمي» Goa‏ المعاني المختلفة أيضاً تبعاً للبيئة 
التي سيبنى فيها المنزل. ربما توجد متطلبات بنائية خاصة بسبب تكرار حدوث 
الأعاضير أل الزوانم أو حي aN‏ من ان Sd‏ 
الحرارة العالية أو لهطول الثلج الكثير أن تصبح عوامل في تحديد ما تعنيه 
عبارة «امن ومحمي) فعلا. 

وبالطبع فإن عبارة «مقاوم lw‏ ف تقون Lal‏ مثالا محددا لعبارة cel‏ 
ومحمي». وأخيراً ob‏ مالكي المنازل المحتملين قد يهتمون ببساطة بالأمن 
الفيزيائي أو المكاني. 

بالإضافة إلى رغبات طالبي تملك المنزل في الحصول على منزل آمن 
ومحمي» قد توجد Lal‏ أطراف أخرى لها نفس الاهتمامات بمعنى «آمن 
ومحمي» أو لها اهتمامات مختلفة. doled‏ ما يطلب مالكو المنزل قرضأء ولكن 
كي يحصلوا على هذا القرض» سيتوجب على طرف آخر أن يكون معنياً 
كذلك» ألا وهو شركة تأمين. سيحتاج مالكو المنزل من أجل الحصول على 
القرض إلى بوليصة التأمين هذه» ومن أجل الحصول على البوليصة أو كي 
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يكونوا قادرين على شرائهاء سيحتاجون إلى إقناع شركة التأمين بأن المنزل 
er opal, gees‏ ل ل ا 
المثل «مصنوع من القش». ستفضل المنزل الذي يبنى بشيء أقوى وأقل ALE‏ 
للاحتراق. 


MEN ee والنتاء و احوين‎ ee oe كالات علج ع‎ ae 
يتعلق بالمنازل‎ Lad وشركة التأمين» أن ينتبهوا إلى المعايير والقوانين الحكومية‎ 
«الآمنة والمحمية»» مثل القواعد الخاصة بكل منطقة وقوانين البناء. في الحقيقة‎ 
قد توجد حتى عقوبات وحوافز فيما يتعلق بالالتزام بالمعايير والقوانين مثل:‎ 
غرامات من قبل البلدية المحلية لعدم التقيد بالقواعد الخاصة بالمنطقة» وأقساط‎ 
تأمين أقل» تعويضاً على تطبيق متطلبات أمن فوق الحد الأدنى الذي يفرضه‎ 
القانون. توجد أيضاً فى بعض المناطق متطلبات مفروضة من قبل اتحاد مالكى‎ 
poe إلى‎ dole أن مثل هذه الاتحادات لا تحتاج‎ Biles منازل المنطقة‎ 
معايير وقوانين من أجل الحماية والأمن» إلا أنها تستطيع أن تساهم في فرض‎ 
إضافات رئيسية كشروط للحصول على رخصة بناء صادرة عن الحكومة‎ 
المحلية» كما أنها تستطيع أن تساهم أيضاً بالأمن من خلال أنشطة مثل برنامج‎ 
مراقبة الجوار.‎ 

وهكذا فإن لعبارة «آمن ومحمي» معاني مختلفة حسب وجهة النظر المعينة. 
وقد تكون جميع وجهات النظر المختلفة صحيحة وتقتضي التطبيق. كما يجب 
على مالك المنزل أن og‏ جميع هذه الرؤى المختلفة. 

إذاً ما هي متطلبات أمن المعلومات؟ 

لقد سعت المنظمات الحكومية» في محاولتها لتحقيق أمن معلوماتهاء إلى 
جلب جميع المعنيين بهذه المسألة إلى نفس المستوى من فهم متطلبات ذلك. 
إن العنصر الأول الذي نحتاج إلى فهمه هو متطلباتنا من أجل أمن المعلومات. 

لقد أصبحت المفردات الخمس التالية: السّرية» وسلامة البيانات» 


والجاهزية» وعدم الإنكار» والتحقق من الهوية أو التوثيق» legs‏ ما القائمة 
«التقليدية» للمتطلبات. لقد جلي وحددت 7 كل من وزارة (DoD) aa‏ 


الذي نشر من قبل «لجنة أنظمة (CNSS) E‏ كتعليمات رقم 4009 
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.(NSTISSC, 2004)‏ ولكن هذه كلها قد لا تتضمن كل متطلبات أمن المعلومات 
لجميع البيئات ولكل المؤسسات. 

لقد حدد المعيار العالمي المسمّى «النموذج المرجعي لهيكلية أمن 
المعلومات» الصادر عن المنظمة الدولية للمعايير )2004 (ISO 7498-2) (ISO,‏ 
سبعة مستويات» عاكساً رؤية عالية المستوى لمتطلبات أمن الشيكات 
الحاسوبية ومنضيفا HU‏ إلى poled‏ التقليدية gest‏ التاليين ‏ الك 
بالنفاذ» والتوثيق/ الإمضاء. 

وفى Cou‏ لشركة (Garther Group)‏ يضيف الخبير (روبيرتا ويتى) العديد 
من المتطلبات إلى المفردات الخمس التقليدية ومنها: التفويض» والخصوصية» 
وعدم التدخل )2002 (Witty,‏ . 

ويؤكد كذلك كل من غوربريت ديلون وجيمس باك هاوس بعضاً من 
المتطلبات التقليدية» بينما اقترحوا ثلاثة مبادئ إضافية مختصرة فى ما يدعونه 
(RITE)‏ تشتمل على : المسؤولية» والثقة والأخلاقية )2000 (Dhillon,‏ . 


قن SST bes SalI as‏ شيعا لها oe aay‏ لين ا sla Vike‏ 
العشرة لجودة المعلومات» وهي : الصلة بالموضوع» والدقة» والتوقيت 
المناسب» والاكتمال» والترابط» والبنية» وسهولة المنال» والملاءمة» والأمن» 
والشرعية )1996 (Holmes,‏ . 

وأخيراًء إضافة إلى العديد من المتطلبات التى عددت حتى الآن» أضاف 
باحثا شركة IBM‏ (آروون ناغراجان وأنبازهاجن (Gils‏ إلى قائمتهما «المتطلبات 
الرئيسية لدعم جودة الخدمات» المتطلب التنظيمي )2003 (Mani,‏ . 


السؤال الآن: أي قائمة من هذه القوائم نتقيّد بها؟ قد يجادل البعض أن 
تعفن ghd oc bl ole a LT dee Olid‏ .سيل 'الكال: 
عدم الإنكار والتحقق من المي هي أجزاء من السّرية» وقد يجادل آخرون 
للعودة إلى مجموعة المتطلبات التي اقترحت عام 1991م عندما وصف جون 
ماكيومبر (John McCumber)‏ السّرية» والسلامة والجاهزية كصفات مطلوبة لأمن 
المعلومات فى نموذجه الشهير .(McCumber, 1991) INFOSEC‏ لکن مثل هذه 
المناقشات ا بعيدة عن الواقع. 

إن السبب المنطقي وراء ضرورة تحديد متطلبات أمن المعلومات بأكبر 
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قدر ممكن من الدقة» هو إتاحة الفرصة لاحقاً لتطبيق أكثر الوسائل فعالية 
لتحقيق هذه المتطلبات. إذ قد يقود تعميم المتطلبات» ضمن مجموعة من 
الخيارات المحصورة أكثر مما ينبغي» إلى نتائج غير محمودة» فالتعميم يزيد 
من احتمال اعتماد الإجراءات المضادة أو الوسائل غير الصحيحة أو غير 
الفعالة لتحقيق الأمن» كما يزيد من احتمال عدم تحقيق مخرجات أمن 
المعلومات المطلوبة. وقد يجعل هذا التعميم المنظمة جاهلة بالمتطلبات 
الجديدة والبازغة. 


خذ على سبيل المثال متطلب الأمن المتعلق بالخصوصية» لقد Ge‏ في 
الولايات المتحدة الأمريكية «قانون مسؤولية وقابلية التداول فى التأمين 
الصحي» عام 1996م (HIPAA)‏ بهدف حماية خصوصية صحة القن وحماية 
المعلومات الطبية. ووفقا لوزارة الصحة والخدمات الإنسانية فى الولايات 
المتحدة الأمريكية (إن هذه القوانين تحمى السجلات الطبية Sos‏ 
الصحية الشخصية سواء أكانت على الوق أو فى الحواسب» أو منقولة 
git‏ يتضمن (HIPAA)‏ فى الحقيقة «قانوناً ا يصف حالات 
OG DSS E ESN‏ 
أخرى هناك العديد من الحالات التي يمكن فيها الإفصاح عن المعلومات 
الصحيحة )2003 (U.S.A Dept. of Health and Human Services‏ في هذه الحالة 
على سبيل المثال إن متطلب الخصوصية ليس أضيق من السّرية» ولكنه 
يتضمن أيضاً عناصر أخرى من القائمة «التقليدية». إن مجرد اعتبار الخصوصية 
كمرادف للسرية سيكون أمراً خاطتاً» كما أن تطبيق الإجراءات المضادة لحماية 
السّرية فقط من التهديدات سيكون غير كاف لتحقيق متطلب الخصوصية. 


إذا كان فهمٌ المتطلباتِ الحقيقية لتأمين المعلومات هو الخطوة الأولى 
dpe‏ إلى أمن معلومات OB JS‏ العقل المنفتح نحو البحث في طبيعة 
هذا المتطلب هو أمر ضروري. قد تكون التعاريف المعيارية نافعة من أجل 
الفهم النظري للمتطلبات» ولكن لا يتوجب استخدامها بدون أخذ الأوضاع 
على أرض الواقع بعين الاعتبار» والتي تستدعي تحقيق متطلبات أمن معلومات 
محددة. يتوجب على كل منظمة لديها GE‏ لأآمن معلومات JES‏ أن تقرر 
أولاً ما هو متطلبها الحقيقي» كما ينبغي بعد ذلك أن تتأكد من أن المتطلب 


41 


«الدفاع المعمق عن المعلومات» وفي جميع الا تجاهات 


Spree لسن‎ Sheed Sal :إلى اإذواك أن‎ ole ge eal be gs 
مقدار أكبر من التقنية» إذ يتضمن الأمنٌ‎ Job حماية أنظمة تقنية المعلومات‎ 


لقد ae‏ نهج «الدفاع المعمق عن المعلومات»» لتأمين المعلومات من 
قبل وزارة الدفاع الأمريكية أولا. ويتضمن هذا ae‏ تطبيقَ الإجراءاتِ 
المضادة فى مجالات: الأشخاص» وطريقة العمل أو الإجراءات التشغيلية» 
الك اك التقنية» وهذا بغية الحد كلياً من مخاطر أمن المعلومات (Joint‏ 
Chiefs of Staff, 2003)‏ . تشمل الإجراءاث الخاصة بالأشخاص أموراً مثل: 
التدريب» وأمن الموظفين. أما الإجراءات التشغيلية فتشمل : الخطط › والسياسات» 
والإرشادات» وهي كذلك جزء من الإستراتيجية» وتشمل إجراءات التقنية أيضاً 
أموراً مثل ES‏ وأجهزة كشف الاختراق و«جدران النار». 


ومن الممكن Yue‏ أن تشتمل هذه التشعيبات الثلاث لنهج «الدفاع 
المعمق عن المعلومات» على أية وسيلة أخرى لتأمين المعلومات والحد من 
HUIS ly Bae) bil‏ تتضمق كل مها Rely‏ من 'العناصر Lgl)‏ لهذه 


لنفكرء على سبيل المثال» بنظام كشف الاختراق dole (IDS)‏ ما ينظر 
إلى نظام (IDS)‏ على أنه تقنية تقوم إما على شبكة أو على حاسوب مضيف. 
صمّمت هذه التقنية للكشف عن نشاطات غير عادية أو محظورة على النظام أو 
الشبكة. إن هذا مشابه لمثال كشف الاختراق لأمن المنزل (DS)‏ السابق» 
فعندما يُكتشف أي حادث» سيبلغ شخص لاتخاذ ما يلزم. يتوجب على هذا 
الشخص» سواء أكان الموضوع منزلاً أو شبكة حاسوبية» أن aby‏ إجراءً 
معتمداً Gly‏ بطريقة القيام بتحقيقات إضافية ثم يرفع تقريراً عن الحادث. Bp‏ 
كان المسؤول عن هذه المتابعة مدرباً تدريباً غير جيدء» فإنه فى أحسن 
الآحوال قد يحدث اختراق جديد» وفي أسوأ الأحوال قد تحصل CASS‏ 
سواء في المنزل أو على الشبكة» وذلك بالرغم من القدرات الهائلة للتقنية. 
بطريقة مماثلة قد تؤدي السياسة الواهنةء أو الإجراء المكتوب بشكل سيى» 
إلى جعل الفعالية التقنية موضع جدل. 
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لذاء وكما في تعميم المتطلبات» فإن التصنيف المبسّط لعناصر نهج 
«الدفاع المعمق عن المعلومات» أي: التقنية» أو الأشخاص أو العمليات قد 
بكوة غير le‏ إن ST Lad‏ سن LL‏ الدقيق فى" SUS, chat‏ 
المتبادلة الضرورية بين عناصر إستراتيجية «الدفاع المعمق عن المعلومات» fa}‏ 
مطلوباً بغية توظيف هذا الدفاع أو الإجراءات المضادة بفعالية. 

Layee‏ قد تملك استراتيجية «الدفاع المعمق عن المعلومات» صفة 
«مضاعفة القوة» التى تزيد فى تأمين المعلومات نتيجة المشاركة الفعالة 
لوحدات PSI‏ من RT‏ وبالتالى لعدد أكبر من الأشخاص. وعندما 
EE ERT OB EE‏ 
«الدفاع المعمق عن المعلومات»» وإذا ما أديرت بشكل جيد EB‏ ستعزز من 
فاعلية الإستراتيجية. 


ف ی Bly‏ و كو دان pole ISAT‏ و 
إضافيةٌ تكون جزءاً من إستراتيجية «الدفاع المعمّق عن المعلومات». يتضمن 
المعيار )17799 (ISO‏ على سبيل المثال ما يلي: الالتزام» وهيكلية الآمن»› 
وتصنيف الأصول والتحكم بهاء وذلك ضمن قائمتها المؤلفة من عشرة عنا 
(ISO, 2000)‏ . 

(CSV ol Godt Gi‏ دور tLe‏ إدارة الائ على UT‏ مسدركزة 
حول ما يلى: سياسة ومعايير وإرشادات» وأنها المؤلفة من خطوات هى: 
eg‏ وصمّمء cals Ree‏ وادعم» وعلى أن تكون AE‏ بالتعليم 
المستمر )2000 (Internet Security Systems,‏ . 

من جاثب sald Gl $99 ts BRIN ULI Cokie at ST‏ 
المعلومات على أنها hal pe‏ من خطوات ھی : فلز واحم» وتفځص› ودرب 
وراقب )2000 f . (EDS,‏ 

بغض النظر عن اعتبارنا odd‏ الإجراءات على أنها فكرة» أو عملية» أو 
دورة حياة» أو أنها Gl‏ شكل آخرء فإن المهمّ هو إدراكنا أن هذه الوسائل 
هى أكثر بكثير من التقنية التى يفكر بها العديد من الأشخاص عندما يسمعون 
بعبارة أمن المعلومات». ولذلك فإن أمن المعلومات يستدعى by‏ عدد أكبر 
من الأشخاص في المنظمة. 
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مهندس هيكلية أمن المعلومات» أو المعماري 

كما رأينا EL‏ فقد اكتشف مالكو المنازل Ob‏ لديهم مجموعة منوعة من 
المتطلبات التي تحتاج الدراسة من قبلهم ومن قبل آخرين» إذا أردنا تأسيس منزلٍ آمن 
ومحمي. وكما أن تحديد المتطلبات جاء من عدة مصادرء كذلك هي وسائل تحقيقها. 

سيتوجب على مالكي المنازل أن يوظفوا late‏ كبيراً من الوسائل من أجل 
iL‏ أنفسهم وأطفالهم. وحماية البنية المادية للمنزل» والبيئة التي سيبنى فيهاء 
وكذلك أمن أموالهم. تشتمل بعض هذه الوسائل على منتجات Gite‏ عليهاء 
وعلى ممارسات مثلى» وكذلك على تصاميم وهياكل مراقبة بدقة. ستتضمن 
وسائل أخرى سياسة dike‏ ومفهومة lige‏ وخدمات مراقبة. وبينما تجري 
غهلية ele‏ الحفال 4 سيكو كلذ هن التحارين والسماكزة والمتحمتفين Uab‏ 
والمشتغلين بالسقوف» ومزوديهم» والمشرفين عليهم منهكين بالعمل. ستقوم 
مدو دو EEE CI EM sleet ae ti ch‏ 
سيجري اختبارٌ أجهزة البيت» وقبل أن يسكن أخيراً سيمنح وثيقة نهائية. 

)13 من الذي سيكفل أن جميع المتطلبات قد أخذت بعين الاعتبار» وأن 

جميع الوسائل 3 ت بفاعلية» وأن JS‏ شيء منسجمٌ ويعمل معاً؟ يجب أن 
ا ا درك مع الوسائل المختارة لتنفيذها و يدعى هذا 
السياق ب «الهندسة A lard!‏ 

سيبتدعٌ المهندسل المعماري مجموعة من الوثائق التي تُصوّر المنزل من 
أكثر من منظورة. سيستخدمٌ كل Ly‏ من دوي المهاراك المختلقة» cpl)‏ 
یوون jlath‏ كل کن الإجراءات أو pe Tepe GL IID‏ هده الوتائق 
المصممة من قبل المعماري تجعلٌ إنجازهم مُنَّسقاً مع السياق الإجمالي 
للمنزل. إن الوثائق المخصصة للنجارين على سبيل المثال: سَتَعرض gales‏ 
البناء المتعلقة بالنجارة فقط. 


سيكون المهندسٌ المعماري هو المتحكم المركزيّ بجميع هذه الوثائق 
والرسوم المنظورية. وإذا كان LY‏ من إجراء تعديلات في واحد من AB‏ 
غلن نسيل OB dsl gS SLY ise cS‏ المهندسن ستاك هن أن هذا 
التغيير لا يؤثر سلبياً في أيّ محور آخر للمنزل. 

لن يخدم التوثيق الهندسي الجيد الهدف منه أثناء بناء المنزل فقطء بل 
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أيضاً بعد الانتهاء من عملية البناء. فإذا استطاع مالكو المنازل الاحتفاظ 
بمجموعة الرسوم الهندسية» فسيتمكنون بعدها من العودة إليها طيلة فترة 
ملكيتهم للمنزل» وكلما رغبوا بإجراء تعديل له. قد يختار مالكو المنازل أن 
يضيفوا ملاحظاتهم على الوثائق الهندسية أو أن يوائموها كي يمتلكوا رسما دقيقا 
وحاليا لعلاقات المقومات المختلقة للمنزل. 


هيكلة أو عمارة المؤسسة 
نشوء فرصة 

إن «تأمِينَ المعلومات» و«هيكلة المؤسسة» ليست أفكاراً أو برامجَ جديدة. 
في الحقيقة » إنهما في الحكومة الفيدرالية الأمريكية مشلا نشاطان رسميان aes‏ 
لکل متطلبات a ev‏ وفق سياسات ا وتواعم ea‏ من 
المؤسسات من خلال القوانين مثل قانون (HIPAA)‏ في قطاع الخدمات 
الصحية» وقانون (Sarbanes-oxley)‏ لشركات التدقيق والمحاسبة العامة» وقانون 
(Gramm-leacch-Bliley)‏ لشركات الخدمات المالية. إلا أنه لا توجد بعد أوامرُ 
رسمية تنظيمية أو قانونية ل «هيكلة المؤسسة» في القطاع الخاصء إلا أن العديد 
فق الشركات تخار أن سيق pails an WSR‏ الممازسات: 

لماذا تستخدم «هيكلة المؤسسة» في الحكومة؟ تسأل الوكالات الفيدرالية 
الأمريكية مثلاً عن تعليل إنفاقها على تقنية المعلومات وعن بيان كيف med‏ 
أنظمة لديها إنجازّ مهمتها. تتضمن جهودُ «هيكلة المؤسسة)» أكثْرَ من مجرد 
خبراء لتقنيات المعلومات للمنظمة. في الواقع تتضمن الخطوات الحكومية 
الأولية المتخذة لتحديد «هيكلة المؤسسة» الفيدرالية وضع لجوج مرجع 
تجاري على أن تتبعه فيما بعد نماذج مرجعية تقنية ومعلوماتية. 


padi‏ برام «هيكلة المؤسسة)» في كل من الوكالات المدينة للحكومة 
الفيدرالية ووزارة الدفاع الأمريكية» مجموعة من: النظرة المستقبلية» وترابط 
العمل» والرؤى التقنية والتشغيلية للمهمة أو العملية. فمثلما يقدم 
مهندس المنزل المعماري لكل مختص الرسمٌ المنظوري الخاص بهء فإن 
مهندسي الحكومة المعمارييين يقدمون مجموعة من الرؤى المترابطة والمراقبة 
المركزية. وبالتالي يستطيع المدراءً التشغيليون أن يروا الرسم المنظوري 
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المتعلق بطريقة العمل» بينما يرى مختصو تقنية المعلومات الرؤى التقنية. 

لقد وُجد في الماضي تنويه أو دمج بسيط جداً «لتأمين المعلومات» داخل 
«هيكلة المؤسسة» وهذا حتى فى الحكومة الفيدرالية الأمريكية حيث كلا 
البرنامجين تشاطاق [uy Glens‏ هذا بالتغيير بسبب انتشار الوعي بأهمية «تأمين 
Cole plead‏ وقد oly‏ العنويهات إلى عناصر تأمين المغلومات بالظهور في 
النسخ الأخيرة bY‏ العمل في «هيكلة المؤسسة» الفيدرالية. 

سواء جرى اعتمادٌ نهج مثل «إطار عمل هيكلة المؤسسة الفيدرالي» 
«(FEAF)‏ أو مثل «إطار عمل هيكلية المؤسسة لوزارة الدفاع» (DOD)‏ أو GÍ‏ 
نهج آخر تتبناه المنظمة وترعاهء ob‏ ذلك لا يهم شريطة أن يتضمن ibi‏ 
شمولية تحتوي العناصر التجارية والتشغيلية والتقنية. 

وقد ti‏ البعض Lai‏ اعتماد نهج OLS‏ أي تعديلا غليه» وغلى 
pel‏ من أن كلا هتين الاتجاهيق WS‏ من العمل Ads TAK gt‏ 
المعلومات» إلا Lgl‏ محدودان عند محاولة استعمالهما لوصف السياق 
الشمولي لأمن المعلومات )2001 (Zachman,‏ . 

إن الاتجاه الشمولى هو الاتجاه المفضلء لأننا نريد لسياقنا أن يكون 
مركزاً على المعلومات و على أنظمة المعلومات أو على تقنية المعلومات 
فقط؛ إذ نريد بالنتيجة أن نحدد متطلباتنا لتأمين المعلومات وليس لتأمين 
نظمها أو تقنيتها. فنحن نحاول تجنب فقدان المعلومات وليس تجنب فقدان 
النظام أو التقنية» وهي مشكلة مختلفة (Von Solms, 2001) LLS‏ . 


إلتقاء المتطلبات والوسائل والهيكليات 


عند عملنا على فهم متطلبات تأمين المعلومات» يجب أن نهتم أيضاً 
بالوسائل أو «الإجراءات المضادة» لتنفيذ هذه المتطلبات» وأيضاً السياق أو 
الهيكلية التي تتوافق معهاء فإن فهم ارتباط هذه الأشياء الثلاثة لامر e‏ قد 
يبدو أن استيعاب مثل هذه الو المعقدة من العلاقات ee‏ مروعة. 
لحسن الحظء ثمّة TRET‏ من النماذج التي تساعد على شرح ارتباط 
في عام 1991م اقترح جون ماكيومبر (John McCumber)‏ ما oles‏ «النموذج 
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الشامل» لأمن المعلومات المرسوم في الشكل )1( )1991 (McCumber,‏ . 


إجراءات الامن المصادة 














الشكل (1). 


إن ما دعوناه بمتطلبات تأمين أو أمن المعلومات» أشير إليها من قبل 
(McCumber)‏ ب «مواصفات المعلومات». لقد أشار منها (McCumber)‏ إلى : 
OI‏ والتوفر والسلامة فقط. 

إن ما نسميه اليوم ب «الدفاع المعمّق عن المعلومات» سمّاه (McCumber)‏ 
إجراءات الأمن المضادة. فلقد حلت كل من «elt‏ والعمليات والتقتبات 
في «الدفاع المعمق عن المعلومات» محل مقومات (McCumber)‏ الثلاثة في 
إجراءات الأمن المضادة أي : التقنية» والسياسة والممارسة» والتدريب والتعليم. 
أما الجانب الثالث لنموذج (McCumber)‏ أي ما سمّاه بحالات المعلومات» فقد 
قال (McCumber)‏ أن جميع المعلومات توجد في حالة من هذه الحالات 
الثلاث: الإرسال» أو المعالجة» أو التخزين. وقد أجاز (McCumber)‏ أن توجد 
المعلومات أحياناً في حالتين من الحالات الثلاث في نفس الوقت. في نظام 
الرسائل على سبيل المثال» تستطيع الرسالة حينما تكون في حالة الإرسال أن 
تكون في حالة التخزين أيضا. 

وعلى صعيد آخر» وصف )2001 (Maconachy [et al.],‏ في عام 1 كيف 
تطور نموذج (INFOSEC)‏ إلى نموذج تأمين المعلومات (14). إن هذا التطور 
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هو أكثر من مجرد تغير دلالي بسيط أو تغيير أسماء. اقترح مؤلفو هذا النموذج 
الجديد عدداً من التغييرات لتحديث نموذج pets. (McCumber)‏ التي GI‏ 
عليها (McCumber)‏ اسم «مواصفات المعلومات)» أشير إلها من قبل هؤلاء 
المؤلفين ب «خدمات الأمن» وقد وُسّعت لتتضمن Geet‏ من الهوية وعدم 
الإنكار. لقد قام نموذج 2001م بتحديث إجراءات الأمن المضادة (McCumber)‏ 
إلى ثلاثية «الدفاع المعمق عن المعلومات» الحالية» ألا وهي الأشخاص» 
والعمليات والتقنية. أما الجانب الثالث لنموذج (McCumber)‏ أي «حالاات 
المعلومات)» فقد ترك بدون تغيير. اقترح المؤلفون ob‏ بُعداً رابعاًء ألا وهو 
الوقت أو الزمن» يجب أن يؤخذ كذلك بعين الاعتبار بطرق عديدة. رسم 
نموذج 2001 في الشكل (2) متضمنا الوقت. 


= 
=) 











الشكل )2( 


مع ظهور أطر عمل شاملة ل «هيكلة المؤسسة» اليوم» تحظى المنظمات 
بفرصة الاستفادة من الاتجاه الشموليّ في «هيكلة المؤسسة»., لتحقيق تكامل 
اقم كنا بدن أ رقع عقي ب es‏ المعو ياك هجرلا SU‏ 
المضادة» والطريقة التي تستخدم فيها المعلومات في المنظمة. ويمكن أن Jay‏ 
هذا التطور تقدما في التصور لنسخة 2001 من نموذج (McCumber)‏ . 


Ley‏ زادت نسخة )2001 (Maconachy [et al.],‏ مواصفات المعلومات الثلاث 
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(McCumber) J‏ إلى خمس حالات أمنية» وحدّثئت إجراءاته المضادة لتعكس 
المنهج الحالي ل «الدفاع المعمق عن المعلومات». بقيت حالات المعلومات 
الثلاث: CTL OY‏ والمعالجة والتخزين بلا تغيير. 

قد ينظر إلى غاية (McCumber)‏ فى وصف «حالات المعلومات»», على أنها 
طريقة للنظر في علاقة المعلومات» عند لحظة معيّنة من الزمن» داخل نظام للحماية 
والإجراءات المضادة. لقد أثبت نموذجه المفاهيمي على أنه مفيد للغاية في تعليم 
العاملين في حقل أمن المعلومات. لابد من القول إنه عندماطرح نموذجُ 
(McCumber)‏ كانت شبكات حاسوب وأنظمة المعلومات لا تزال في مرحلة الطفولة» 
وكان نهج «هيكلة المؤسسة» لا يزال حلماً بعيد المنال» وبالتالي فإن «حالات 
(obs glass‏ ل (McCumber)‏ مقاربةٌ «جيدةٌ» لوصف هذا البعد الثالث للمكعب. 

إن «هيكلة المؤسسة» كبديل ل «حالات معلومات» (McCumber)‏ تسمحٌ 
بمستوى لم يسبق له مثيل من الأمانة والفهم لمتطلبات تأمين المعلومات 
والإجراءات المضادة وعلاقتهما بكيفية استخدام المعلومات في المنظمة. 

يمن ا ال كبعدٍ ثالث المنظمة oak‏ على aa‏ 
ا التشغيلية والبنية اة التقنية. إن هذًا (McCumber) ae a‏ 
والتحديث من قبل (Maconachy, [et al.)‏ مبيّن فى الشكل (3) . 





Ps سد ير‎ phe IY F 
f oO HAE A 
I” gt Rail 
fo ES Li 
و‎ 
Da 
| ie PA 
1 
“ل ملو‎ 
1 متطلبات تأمين المعلومات‎ 24 ZA 
1 Yo CO 
1J ر‎ os 
1 A a 
V a; 4 





الشكل )3( 
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ثمة عدد من الفوائد التى تُكتسبٌ نتيجة لهذا الاتجاه الجديد. إذ يؤدي 
استخدامٌ «هيكلة المؤسسة» إلى وجود رابطة بين مهمة المنظمة والتقنية يمكن أن 
Gils‏ عليها متطلبات تأمين المعلومات والإجراءات المضادة. GA‏ «هيكلة 
المؤسسة» كذلك مقاربة مبنية على المعلومات مقارنة بالمقاربة السابقة التى 
كانت مبنية على BI‏ أو المنظومات. 

باعتبار أن جميعَ عمليات «هيكلة المؤسسة» Glas‏ من المهمة الرسمية 
للمنظمة» فإن هذا النموذج اديك heey‏ كا انا أل مكار pals aS‏ 
رفيعي المستوى ممن يقومون بتحديد مهمة المنظمة. 


عندما تُطبق دقة «هيكلة المؤسسة» بدلاً من حالات المشروع السابقة على 
البعد الثالث للنموذج» OB‏ المعلومات BES‏ سياق أكثر صلة. 


توجد «هيكلة المؤسسة»» عندما ينظر إليها في علاقتها مع متطلبات تأمين 
المعلومات والإجراءات المضادة» رؤية واضحة قائمة على متظور: et‏ على 
دور «المتطلبات» و«الدفاع المعمق عن المعلومات». فعندما GI GRY‏ شخص في 
الهيكلية التى اعتمدها هؤلاء القادة رفيعو المستوى» سواء كانت هيكلية سيرورة 
الأعمال» أو العمليات أو التقنية» سيرى بوضوح ما يقابل كلا منها من متطلبات 
تأمين المعلومات والإجراءات المضادة. 


بهذه الطريقة» يُعطى القادةٌ رفيعو المستوى أيضاً الفرصة ليقروا على 
مستوى المؤشسة» GL‏ من متطلبات geal‏ المعلوفنات.هو الأنسب :لكل من 
وحدات المنظمة. يجب أن يُمنحَ جميعٌ أفراد المنظمة الفرصة ليشاركوا في 
تحديد متطلبات تأمين المعلومات والإجراءات المضادة الضرورية التى تخصض 
ا الت ا بها عمق ogi US pat‏ يعن ان شلك Ladd‏ كن 
شخص في المنظمة الفهمَ المناسبّ لسياق دوره في تأمين المعلومات. 


استنتاجات 


على الرغم من dt ly bl‏ من Gaal‏ والسياننات الميتكرة 
والمقاربات الإجرائية» وبالرغم من التأكيد المتزايد أبداً على التعليم» والتدريب 
والتوعية» إلا أن تأمين المعلومات لم يُصبح أسهل تنفيذاً. هناك حاجة إلى 
مقاربة منهجية جديدة تأخذ بعين الاعتبار متطلبات تأمين المعلومات بدقة أكبر» 
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وتكون شاملة جميع وسائل الدفاع الممكنةء وتعترفٌ OL‏ المهمّ في دعم 
سيرورة أعمال المنظمة هو المعلومات ليس الأنظمة. 

إن الجيل الثالث لنموذج «(McCumber)‏ بعد إضافة «هيكلة المؤسسة» 
له» هو Zayed‏ مفاهيميٌ بامتياز ويُشكل قاعدةً لمقاربة تحليلية وهندسية لتلاقي 
وتلاؤم المتطلبات والإجراءات المضادة مع المعلومات. إذ Gaus‏ هذا الاتجاه 
أنظمة تأمين المعلومات مع الإدارة أكثر من أي وقتٍ مضىء ويُشكل Ib‏ 
عمل 53k‏ باستمرار. 


بما أن التقنية» وسيرورة الأعمال» والتهديدات الموجهة إليهماء تتغير 
باستمرار» يتوجب على أمن المعلومات أن لا تحاول فقط الاحتفاظ بوضعها 
وإنما أن تبحث عن الفرص التى تجعلها Oly BLA‏ تبقى فى المقدمة. لقد 
اميه مان SLA‏ نسي sic‏ ابت فى البنية ولا تقم بإضافتها لاحقاً» 
الوصفة الطبية المثلى لمختصى أمن المعلومات لسنوات عديدة. ولكن بناء 
Lag Y all J jell‏ ا سمي لار مواقم EEA Of sell‏ 
بخطة. هذه الخطة هي التصميم المعماري. وهذه هي النقطة التي يجب أن تبداً 
منها عملية أمن المعلومات أيضا. 


مراقبة الموظف مقابل خصوصيته 

إن المنظمات الحكومية والتجارية قادرةٌ في معظم الحالات على مراقبة 
استخدام الموظف لآجهزتها وشبكاتها المعمارية الممتلكة من قبلها. يكفي لذلك 
إصدار وثيقة سياسة العمل الرسمية وتوزيعها على الموظفين كتوجيهات». 
مُصرّحة OL‏ المنظمة تسمح (أو لا تسمح) باستخدامات محددة للتجهيزات. 
ويُرافق هذه الوثيقة التصريح بأنه لا يتوجب على الموظف أن يتوقع Ti‏ 
خصوصية في استخدامه للنظام» هذا كل ما يلزم من أجل تنفيذ السياسة. 

ولكن أين يجب رسم الخط الذي S45)‏ الاستخدام الشخصيّ المقبول؟ إذا 
ما استثنينا منع النفاذ إلى اللائحة الواضحة لمواقع: المقامرةء والإباحية» 
والمستحضراتٍ الصيدلية غير الشرعية» ومواقع التواصل الاجتماعية» فما هو 
المقبول عدا هذا الاستثناء؟ هل يعتبر منطقياً أن يُسمح للموظفين ARE‏ 
الصفحة الالكترونية للطقس (weather.com)‏ فى أشهر الشتاء ليحددوا إلى أي 
RU E elas yee yas‏ عن الجاع للوالدين Ga‏ 
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الصفحة الالكترونية لتقديم الرعاية للأطفال والمزودة بكاميرات ليتأكدوا من 
سلامة أطفالهم؟ ماذا عن تفحص موقع (CNN.com)‏ للأخبار عندما يقع حادث 
أو كارثة خطيرة بالقرب من المنزل» والتي قل تؤذيهم أو تؤذي أسرهم عند 
عودتهم إلى المنزل؟ 


يبدو أن القرار الإداري الذي يعتمد على «العرف العام» في ما هو مقبول 
وغير مقبول هو أفضل طريقة للحل باعتبار أنه من المستحيل تحديد كل 
الحالات الممكنة. إن ما هو مهم» من وجهة نظرٍ GS‏ من الموظفٍ Dos‏ 
العمل هو وجودٌ خطة عمل مكتوبة تحتوي على توجيهاتٍ fed‏ لجميع 
الموظفينَ حتى يكونوا على دراية بها. باعتبار أن التقنية تتقدم باستمرار وباعتبار 
أن خدمات ومنتجات ذكية جديدة تدخل في الاستخدام» هل على الإدارة الأخذ 
ببعض الاستثناءات؟ بالطبع ‏ إن كلا من وسائل المراسلة الفورية (IM)‏ 
والهواتف النقالة المزودة بآلة تصوير هما الآن حالتا قلق لمسألة الخصوصية 
وأمن المعلومات. يجب أن تُطْوَّرَ SLL!‏ (أو تُوسّع) للتعامل مع هاتين 
التقنيتين بحيث تعكس توقعات الإدارة لاستخدامهما (أو عدم استخدامهما) في 
مكان العمل. 

SIS‏ العامة eas o> eR)‏ و 
Glas Sy ee ly CSG eI‏ الشاكد Gas ga‏ الوروك ER‏ 
وجودة الإيصال. يجب أن ple‏ ا المشتغلون في هذه الأنشطة سياسات 
ومعايير المؤسسة حول تسجيل محادثاتهم ورسائلهم من خلال تعليماتِ مكتوبة 
وأيضاً من قبل المشرفين عليهم. إذا ما نظرنا إلى الموضوع من زاوية أمن 
المعلومات» نجد أن إعطاء الزبائن معلومات StS‏ جدأً قد يكون سيئاً كإعطائهم 
معلومات قليلةَ جداً. على سبيل المثال» في حالة التأمين الطبي أو النتائج 
المخبرية الطبية الروتينية. 

فى بعض الحالات ‏ مثل أسواق الأوراق المالية ووكالات القوات 
E‏ طش عافن مكار نا SRE |b. Seale E‏ :رامنا عه جر 
أجل تسجيل كل التعاملات التي تحدث عندما يَدخل الموظف إلى النظام أو 
الشبكة» أو deg‏ إلى المعلومات أو يُرسِلُ ملفات. من الواضح أن إمكانية 
المتابعة هذه غالية الإنشاء والمتابعة» ولكن عندما يحدث أي انتهاك للأمنء 
353 هذه المقدرةٌ معلومات مفيدة في فهم ما حدث» متى حدث وَمِنْ JE‏ مَنْ. 
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إن جميع هذه التفاصيل حاسمة في تحديد خطورة الانتهاك الأمني الذي حصل» 
والضرر المرافق له» وما الذي يتوجب فعله للحد من أيّ أثر آخر في المنظمة 
وأشخاصها وزبائنها ومساهميها. 
سياسات إدارة نظام أمن المعلومات 

Ghd‏ سياسات إدارة أمن المعلوماتِ على GULLS‏ إدارة النظام مثل إدخال 
أسماء المستخدمين وامتيازاتهم الأمنية. يقومُ بهذه النشاطات عادةً Gap‏ صغيرٌ من 
مهندسي ae‏ مدصي النظام من ذوي الخبرة والموثوقين بدرجة عالية» 
ا 0 a n? E‏ ا يلترم 00 


a CE‏ إلى المعلومات. . wih‏ هذه الطرائقٌ اکا ورقابة 
لكل من الإدارة والمستخدم في حالة حدوث الأعطال الفنية أو اختراقات الحماية. 


يوجد» من وجهة نظر إدارة تقنية المعلومات» Ol pare‏ حاسمان للتحكم 
هما: (أ) وجودُ مدراء موثوقين يتمتعون بخبرة تقنية عالية» (ب) وضع سياسات 
شاملة لإدارة أمن المعلومات cee Bo‏ المؤسسة. يركز العديكد من 
المنظمات على العنصر الأول ويفترض أن مدير النظام سيُعنى بالعنصر الثاني. 
قد يكون هذا مقبولا في بعض الحالات» ولكنه في العديد من الحالات 
الأخرى لا يكون مدراءٌ النظام مدربين على رسم سياسة أمن معلوماتٍ تتفق 
مع» وتبقى dace‏ لأهدافٍ عمل المنظمة. 

بما أن أغلبية مشاكل أمن المعلومات هى مشاكل من داخل المنظمة» 
لذلك ينبغي أن تراجع الإدارة إجراءات CEN‏ إدارة النظام على الأقل مرة 
واحدة في السنة من أجل التأكد من أن مستويات الأمن المطلوبة متبعة. Oly‏ 
التعاقدت على رقابة إدارة النظام من جهة ثالثة والحصول على شهادتها تعد وجهة 
نظر صائبة أيضاً. إن البنود المحددةً التى يجب الأخذ بها فى سياسات إدارة أمن 
المعلومات تين ها يلن” l l‏ 

1. تحديد عدة مستويات للموافقة على إضافة أشخاص جدد إل النظام 
(يمنع هذا الإجراء وجود oa‏ واحدٍ للفشل). 

2. التفقد الدوري لمستويات وامتيازات دخول النظام أمنياً بغية منح 
مستويات أعلى أو أدنى لدخول المستخدم. 
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3. المبادلة الدورية فيما بين أعضاء الطاقم المسؤول عن منح التراخيص 
الأمنية وتكليفهم بمهمات مختلفة وجديدة كل بضعة أشهر لتقليل فرصة اختراق 
الأمن الناتجة من اطمئنان الموظف إلى أنه لن يكتشف بسبب بقائه فى منصبه 
لمدة طويلة. i‏ 


4 ضرورة وجود عملية رسمية لإدارة الوثائق التي asd‏ متى أضيفٌ 
خاص بذلك. 

5. وجود وظيفة للرقابة وتفتيش امن perce mee‏ ا ice‏ 
والإلتزام بالتعليمات: 


Cin 6‏ «تضارب المصالح» المعروفة بين إدارة أمن للمعلومات 
والمستخدمين» مثل سماح الزوج لزوجته الموظفة معه بدخول مستوى أمني 
أعلى. ومن المفيد وجود جهة ثالثة حيادية تؤدي عمل إدارة النظام مما dee‏ من 
تسرب مسألة «تضارب المصالح» إلى النظام. 

Sst 7‏ من أن إدارة أمن النظام تتلقى تدريباً على جميع محاور التقنية 
الجديدة التي تعينهم وعلى إجراءات وسياسات المنظمة. 

8. ربط سياساتٍ الأمن بالسياسات التي تحمي سيرورة عمل المؤسسة من 
EE‏ اليا anes ves‏ الر قي ددن على يقلي 
وصول المزود والزبون إلى المعلومات التي يحتاجونها ليشتروا المنتجات 
والخدمات أو ليستكملوا مخزون المستودعا 


المساءلة الاحترافية 

تواصل أصحاب العلاقات خلال الأزمات وخارجها 

لدى JS‏ منظمة مساهمون أو أصحابُ مصلحة منهمكون في» أو لديهم 
مصلحة في »2 عملياتها وإجراءاتهاء ونتائجها المالية» al‏ او & المواطتين 
في de‏ المنظمات Jipek ae‏ أن تقنية EA a E‏ في كل 


الجيدة والسيئة. عندما تسير العمليات على ما يرام بع مشاكل قليلة وعادية» 


تصدر التقارير الروتينية feds‏ البريد الإلكتروني بآخر الأحداث والأنباء كل 


54 


أسبوع أو أسبوعين» La‏ هذا مقبولاً. أما إذا ما حدث أي اختراق لأمن 
المعلومات مسبباً تعرضاً تنظيمياً أو قانونياً أو ob WL‏ المساهمين يحتاجون 
إلى مستوى عال جداً من الاتصالات مع المسؤولين والإدارة العليا. تحتاج إدارة 
تقنية المعلومات إلى تأسيس أربعة أبعاد للاتصالات : 

2. إنشاء قنوات Slash‏ مباشر. 


3. تطوير الرسالة. 

4. إدارة الرسالة. 

إن لدى مدراء تقنية المعلومات التنفيذيين ولدى الإدارة العليا المشكلة 
ad‏ التي يعانيها رجال السياسة المنتخبون وهي: تجاوز «الضجيج الإعلامي», 
للإجابة عن الأسئلة» وتقديم المعلومات. في البيئة الحالية للدورة الإخبارية 
النشطة على مدار 24 ساعة» قد Gl Li,‏ شيء يحدث في العالم الأخبارَ 
الجيدةً إلى مثبطة AU‏ والأخبارَ السيئة إلى مثيرة. إنها حقيقة من حقائق الحياة 
اليوم أن aan‏ الزبائنُ والمساهمون المعلومات طوال ال 24 ساعة وعلى مدار 
الأسبوع, ويقارنوا المعلومات التي تزودها وسائل الإعلام بتقارير الإدارة» 
ليدركوا الفروقات إن وجدت. خلال أوقات الأزمة "مغل GL oe:‏ أمن هام» أو 
OY‏ عَرَضى لملفاتِ أو معلومات الزبون» أو blue‏ البياناتِ أثناء عاصفةء أو 
عدم Hall‏ على مال كادي tps‏ تمن SF il ely‏ كمي 
المعلوماتٍ الكبيرة «إدراك» ما يحصل أو ما حضل بالضبط. ولكن حتى تكسب 
المؤسسة أو الشركة الدعم السياسي أو دعم المساهم (الذي Le WE‏ يكون صعباً 
جدا) يحت أن 'يكون هناك تفسيراك tay‏ للمشاكل المعقدة: 

نبيّن فيما يلي منهجية متعددةً الأبعادٍ من أجل ربط معلومات المساهم بكل 
من المعلومات السلبية والإيجابية. 


أدر طور 
الرسالة الرسالة 
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البعد الأول : 

© حدد توقعات المساهم Og Sly‏ بصدق. 

© أدرك «لماذا» (لماذا Dea‏ بهذا الوضع؟) 

© حدد «متى» Le)‏ توقيت الحدث الذي آثار اهتمامهم؟) 

© تعرّف «من» (من هو الذي يهتم بالضبط؟) 

© تفقّد WAS)‏ (كيف يستجيبون أو يتفاعلون؟) 

© تحر جداول الأعمال السّرية (لماذا يستاء بعض الأشخاص من دون 

Gl ib 

© سد الثغرة بين المساهم والزبون (ضع نفسك مكان JS‏ منهما). 

قم بطرح الأسئلة لتستخرج منها الإجابات» إذا كانت المعلومات غير 
معطاة بشكل تلقائي أو غير متوفرة بسهولة. استمع إلى من يتكلم وافهم سبب 
استماع الاأخريق اليم ode‏ من المستفيد SW‏ ومن Ley GEM‏ أكد 
افتراضاتك بالتداولٍ مع جميع المعنيين OY‏ التفاصيل قد لا تكون واضحة. 


البعد الثاني : 

اا poly Gigs‏ ماه 

لماذا هذا الإنشاء مهم؟ إنه مهم لتجنب تسريب أو سوء إيصالٍ رسالتك 
للآخرين الذين قد لا يملكونٌ جميعَ المعلوماتٍ التي تملِكها أنت. Ghee‏ 
SLY‏ داشر هين اا ge City Maly‏ اه الذى dadea fuera‏ 
من وجهات النظر JS)‏ منّ الأخبار السيئة والجيدة. 

كيف يمكن لهذا التواصل أن ينشأ؟ 

© أنشر «رسالة إخبارية» شهرية لأمن تقنية المعلومات. 


بتحديثه يومياً. 


© اجعل من نفسك «الصوت الواحد» فى كل الأوقات» وفى كل مكان. 
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© أجب عن الأسئلة التي تتعلق بالأخبار الجيدة بشكل سريع وعن الأسئلة 
التي تتعلق بالأخبار السيئة بشكل أسرع. 


البعد الثالث : 

طوّر «الرسالة) : 
وإذا كان كل من ا أو “cli‏ سيستفيدون من Heese‏ الأمن er‏ 
يعلموا بذلك. وإذا كانوا سيتأثرون بشكل سلبي مالياً أو قضائياً فأعلمهم بذلك 
أيضاً. ١‏ 

إن الرسائل الجيدة BILD‏ بوضوح» القضايا الجوهرية التي يواجهها 
المساهمون (سمعة المؤسسة» والتأثير المالي والنمو المستقبلي) والزبائن 
إلى" EE‏ 

إطلع على الأمور التي يسأل عنها الزبائن الور ل سن 
مصطلحاتهم. إجعل الرسالة مختصرة ومركزة» واستثن Cllr‏ المحددة» 
E E E E‏ 

عندما تكون کک جيدة» أخبر ا السبب جعل 
1 9 ومن الذي 3 يتأثر ا وراء ذلك sie‏ هي 


الخ ا 


البعد الرابع 
أدر «الرسالة» : 
إن تحديد تواتر وكيفية وفرص إدخال التحديث لرسالتك» هي قرارات 


إدارية رئيسية. يمكن fale‏ إصدار الإعلانات عن الأخبار الجيدة في i‏ وقت 
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Ud‏ جدول كل المعنيين. أما عند الأخبارٍ السيئة فلا يوجد Sy‏ مناسبٌ أبداً 
لإخبار الزبائن والمساهمين بها. فمن الممكن توقيت إصدار الرسالة عندما تصبح 
لديك معلوماتٌ دقيقةٌ لشرح ما be‏ ولماذا hue‏ وما هي خطط العمل 
الإصلاحية التى بُدئت. إن الإعلانَ عن معلومات دقيقة أفضل من عرض تكهنات 
مبنية على افتراضات متغيرة سريعة. 

إذا اقتضى الأمر تقديم أي تحديثات» أخبر الجمهور متى سيتم تزويدهم 
بهاء وبأي شكل (طريقة العرض» البريد الالكتروني» الرسالة الصوتية» الإعلان 
على الموقع في الإنترنت. . . . الخ). 

قد يكون للعوامل الخارجية تأثيرٌ في مجالٍ ومصادر أمن تقنية المعلومات 
الى يتب Sab of‏ إلى كل مع الان LST GAL ply‏ قدي العروض E‏ 
توجد حالات خارجة bls‏ عن uf‏ سيناريوهات أو تخطيط معقول» مثل 
هجمات 11 أيلول/ سبتمبر عام 2001 على البنتاغون» ومركز نيويورك للتجارة 
العالمية. 
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Chas)‏ الثالت 
حماية المعلومات الخاصة بالزبون 


تشارلز ريكس الرابع AV)‏ 


جامعة الدفاع الوطني» OLY SI‏ المتحدة الأمريكية 


المقدمة 
إن حماية المعلومات الخاصة بالزبون el‏ حاسمٌ لنجاح المنظمة. لذا 
يتوجب على الشركات أن تمتلك خطة إستراتيجية لأمن المعلومات التى 
يزودها الزبائن بها بغية الحفاظ على عدد الزبائن الموجود وكسب زبائن 
جدد. تقع هذه المسؤولية على عات الشركة» فالشركة التي تعطي قيمة مضافة 
إلى الزبون» وتؤمن أفضل الوسائل نفعاً لفعل ذلك» سوف تفوز في السوق 
التنافسى. 
إنه HY‏ واضمٌ أن حماية المعلومات الخاصة بالزبون مهمة صعبةٌ في 
المحيط التقنى المتنامي والمتغير بسرعة. على أية حال» هذا هو التحدي الذي 
CE‏ على جميع الشركات القيام به لتتنافس بنجاح في عالم التجارة. 
وبالنتيجة» فإن على المدراء التنفيذيين وإدارة المنظمة مسؤولية ائتمانية تجاه 
حاملي أسهّمهم لزيادة قيمة الشركة. تزداد قيمة الشركة بازدياد عدد الزبائن» إلا 
أن إخفاقات الآمن تضعف من هذا المسعى. 


Hdl wey‏ والسينيوة لر ol op elie‏ لن عط ادا 
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ghee he bes‏ “فظو إلى gal Ol‏ تقنية"المعلومات هو Gal‏ اة 
يضاف إلى هذه الصعوبة التعقيد في تحديدٍ الثغرات الموجودة في هذه البيئة 
الديناميكية وفي Gg E RTE‏ التي | Bee iN Gay wad‏ عن 
نفسها. كذلك Cred‏ موازنة المخاطر مع القيمة المكتسبة من الاستثمار في 
تقنيات أمن المعلومات» وإن المبالغة في Cl‏ من طرفي هذه المعادلة تسبب 
الفشل. l l‏ 
تكد عؤاية ‏ الساناف eG ee‏ اناده كر Spl Des‏ 
eas Ul‏ إنها تل إلى ae‏ الشركة بالشركات الأشرئ على طول ML‏ 
التزويد من أسواق التوزيع إلى المموّنين. وقد تؤدي إخفاقاث أمن المعلوماتِ 
إلى عواقبت فاون قد نحطل pai‏ الشركة على العمل. تتطلب إدارة مسؤولية 
الأمن قيام الشركات بتصميم خطط إستراتيجية لتأمين المعلومات على أن تتصف 
بالديناميكية في طبيعتها لتتناسب مع الساحة التقنية دائمة التطور. تربط هذه 
i CDE‏ هافن الشاصلة 2 U0 SS CE‏ 
E‏ ال l ie pony‏ 


تحديد المعلومات الخاصة بالزبون 


ما هي المعلومات الخاصة بالزبون؟ إنها جميع المعلومات التي تحصل 
عليها المنظمة من GI‏ تفاعل مع الزبون القائم أو المحتمل» بالإضافة إلى 
معلومات الزبون التي رودت من مصدر خارجي. قد تتضمنٌ القائمة الجزئية 
لهذه المعلومات ما يلي: الاسمء ومعلومات الضمان الاجتماعي» ورقم 
celal‏ واوا اة وال و NUE‏ اع وال 
والعرق» والتعليم» والمعلومات الائتمانية» والدخل» والمعلومات الأسرية 
وبيانات الوظيفة. 


يحتفظ العديّد من المنظماتٍ بهذا النوع من المعلومات. فعلى سبيل 
TIEFE)‏ خرن دوائرٌ دخل الحكومة من الضرائب (IRS)‏ كمية ila‏ من 
المعلومات عن زبائنها (أي دافعو الضرائب). تحصل (IRS)‏ على هذه 
المعلومات من أصحاب العمل. وعلى الرغم من أن (IRS)‏ لم تحصل على هذه 
cogil ge Ele OL lel‏ إلا آنا تسن سسؤولية ode gal‏ العا ت 
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الثغرات والتهديدات 

إن «الثغرة» فى مصطلحات الإنسان العادي هى خلل في التجهيزات» أو 
ارا لحاسو ار نظام ART‏ أو فى يرل اطول ا ها اله 
أو الحاسوب. في الحقيقة تكون SI A‏ مطلوبة لتسهيل الاتصال بين 
حاسوبين أو أكثر. فإذا اتصلتَ مع حاسوب آخرء فأنت بالنتيجة تجري نوعا 
من التغيير في نظام الحاسوب الآخر. وبينما يعد هذا العمل مرغوباًء إلا أنه 
قد يُستغل أيضا. 

إذا ما chew!‏ الثغرة فإنها ستصبحٌ تهديداً لنظام الحاسوب أو الشبكة. قد 
يكون التهديدٌ Lal‏ شخصاً أو نظاماً حاسوبياً خبيثاً يسعى إلى إحداث الضرر 
لنظام حاسوبي آخر أو لشبكة أخرى. 

بينما ستتواجدٌ دائماً ثغراتٌ فى شبكات وأنظمة الحاسوب» إلا أنه قد لا 
يوجد دائماً تهديد. من ON easel‏ إلى أن الذي قد لا يكون ثغرةً أو 
هه في لومت Ju‏ وقد له ee‏ علق ك اال السا “قفن 
تظهر فيما بعد Lat tld‏ غير موجودة على Lag Wil‏ نتيجةٌ لتقنياتِ حديثة 
مثل تحديثات البرمجيات» والأجهزة التي تضاف إلى الأنظمة المربوطة على 
ASI‏ 


ثروة المساهم 

تود شوق الا GUI Eee Sey SIV‏ الستزاطة SAN ne‏ 
إن الشركات التى فشلت فى تبئّى التجارة الالكترونية قد استُبدِلّت أو أنها 
تتخبط في المياه لتبقى طافية. لقد غيِّرَ التنافسٌ العالمي Shel‏ جميع الأسواق. 
فلم يعد لدى الشركات خيارٌ العودة إلى طرقها القديمة في ممارسة الأعمال. 
فأنت لم تعد قادراً على dole]‏ العفريت إلى القمقم» فقد فتح صندوق 
«باندورا» لكلا 

توس EN‏ اغ نين الان ee alg‏ و اکت الشركة ols‏ 

(ae)‏ أي فتح الصندوق ال ليء بالشر» وانتشر هذا الشر في كل مكان» ولم يعد بالإمكان إعادته إلى داخل 
الصندوق. هذا تعبير من تعابير الأساطير الإغريقية» حيث «بندورا» كانت المرأة الأولى على الأرض وهي التي 


كسرت الحرة المليئة بالشر الذي انتشر في الأرض dy‏ يعد بالإمكان لملمته. 
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ازدادت قيمتهاء وكلما ازدادت قيمتها أصبحت أكثرَ جاذبية» من حيث الربحية» 
للم ل aa‏ إذارة الشركة اا موو اتات تحص ف 
اتخاذ القرارات التي تزيدٌ من قيمة الشركة. i‏ 

a) GES Ula‏ المعلؤحات: دمارا لهذه SSA‏ بين الوباتن 
oy ete all,‏ تسوه الفط إن ال مو ا كاف ي tlh‏ الام زلا 
بعد وقوع الضرر. تظهر هذه الأحفاقات Bole‏ على الشكل التالى: هجمات 
Ole pel‏ امن Gay pally odes‏ واا البريك pated Bag SOY‏ هذه 
القائمة وتستمرء إلا أن الهجمات فى الكثير من OLE‏ 52 بدون أن 
تلاحظ» فى بادىء الأمر على BY‏ .3 بعض الأحيان ولسوء phe‏ تكون 
الهجمات y‏ الملاحظة ASV!‏ إيذاء كما في المثال الآني : 

في عام 92001« تلاعب أبراهام عبد الله البالغ من العمر 32 cble‏ على 
أكثر من 200 شخص من لائحة (Forbes)‏ «أغنى 400 شخص في أمريكا» عن 
طريق سرقة هويتهم الرقمية. لقد جمع السيد أبراهام المعلومات عن هؤلاء 
yess‏ باستخدام حاسوب متاح للعامة موجود في مكتبةٍ في بروكلين - 
نيويورك. وقد نجح في قرصنة قواعد بياناتٍ تعود إلى د بعض أكثر شركات 
الائتمان أهمية في العالم وتحتوي على معلومات شخصية. em‏ هذه 
المعلومات لفتح حسابات الدائنين JRE‏ مخادع» وبالنهاية سرق ما يزيد على 
0 مليون دولار. لقد احتاجت السلطات إلى أكثر من ستة أشهر كي AE‏ 
القبض على أبراهام. وجدت السلطات في حوزته AST‏ من 800 بطاقة ائتمان 
احتيالية و20,000 بطاقة فارغة. 

إن هجمة بهذه الضخامة قد تُدمّر الشركةً» إذ إن الإخفاقات الأمنية 
للشركات تؤدي إلى العديد من المضاعفات الخطيرة» وفي Sole (genie‏ فقدانٌ 
واضحٌ للزبائن. gle‏ زبائن اليوم بسرعة بمضاعفاتٍ إجراءات الأمن الواهنةء فإذا 
أصبح واحدٌ من زبائنك هدفاً لمثل هذه الهجمة بسبب إجراءات أمن غير كافية 
من قبل شركتك» فمن الأرجح ST‏ سيقطع علاقته معك» وعليه قد تتضاءل قيمة 
الشركة وتفشل في النهاية. 

قد يبدو أنه لتجنب حدوث هذا السيناريو يكفي ALS‏ المدراء والتنفيذيين 
برفع شعار مفاده أنهم «سيحمون» Gal‏ المعلومات. لسوء الحظ» Ó,‏ المسألة 
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لست ode‏ البمناطةء فى ليست Seal ba‏ الأمن أو عدسه. أولا: إن من 
Laat sce)‏ إزالة re‏ الثغرات» إنه اقتراحٌ مسل SY‏ الف per‏ 
باستمرار. تُصمَّمْ أنظمةٌ الشبكة لتتصل مع أنظمة أخرى» وطالما أن الأنظمة 
تتصل مع بعضها البعض» فإنها سوف تسبب ثغرات OY‏ عملية الاتصال بحد 
ذاتها Ces‏ تملك كل نظام القدرة على تبادل المعلومات مع الأنظمة الأخرى. 
يضاف إلى ذلك أن الاستشمار في أمن التقنية J‏ إلى أبعد حد. ae iY‏ هذه 
الأنكمازاث ile Sle‏ مرها clog‏ ل Lalas Kall le‏ قاقد انها Zale‏ 
سلبيةٌ Deb‏ هذا الاستثمار غير جذاب. 

على الرغم من أن التكلفة المالية لحماية أنظمة تقنية المعلومات» وحماية 
المعلومات التي تحويهاء عالية واقتراح رصدها هو اقتراح Sle‏ إلا أنها 
ضرورية. إذ قد يكون اختيار عدم الحماية مكلفاً أكثر في النهاية OY‏ الزبائن 
عندها ستُوقفٌ oll‏ مع الشركة. إن إدراك أن عدم القيام بشيء ليس بخيارٍء 
يجعلٌ الشركة تعمل على إعداد خطة إستراتيجية لتدفع إلى الأمام حماية أصولها 
المعلوماتة. 

من الضروري منذ البداية إدراك أن الاستثمار في أمن تقنية المعلومات 
سيتطلب موارد مالية عظيمة» وأن ÉLI‏ على الاستثمار غالباً غير ملموس. إن 
اتخاذ طريقة متقدمة في كل الاتجاهات لتأمين المعلومات تعطي نتائج مذهلة 
على أية حال. 

لقد بات من المسلّم به» في ساحة العلاقات بين الشركات» أنَّ Gol‏ التقنية 
هو من متممات النجاح. تبدأ SIs‏ بالتركيز على حماية أصولهاء Spy‏ عند 
قيامها بذلك أن الثغرات تتواجد نتيجة قيامها بتعاملات مع شركات أخرى. إن 
الابتكارات التقنية التى وجدت مكانها سريعا فى السوق» مثل تبادل البيانات 
الالكترونى (EDD‏ وأنظمة تخطيط موارد ا (ERP)‏ وأنظمة إدارة العلاقة 
مع (CRM) sp‏ قد أجبرت الشركات على دمج شركائها في استراتيجيات 
Gel‏ يجت أنه تملك الشركات شكلا عن OER‏ إلى AIO)‏ اها ى الف 
OUT‏ أمن جاهزة كى تتجنب التهديدات المحتملة» وبالتالى CE NEE‏ 
القائمة بين الشركات المتشابكة تقنياً. l‏ 


Sole‏ ما تمضى هذه العلاقة المتشابكة بين الشركات بدون إشكالات إلى 
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أن Gite‏ شيء ما. يتواصل المزودون إجمالاً من خلال نظام (EDI)‏ مع 
شركات التصنيع أو مزودي الخدمة. لقد مكنَ هذا الاتصال الالكترونيٰ 
الشركات من تخفيض النفقاتِ غير المباشرة المرتبطة بتنظيم الجردء 
وتخصيص المؤونة» والشحن.. الخ. ويغطي (EDI) pU‏ عادة عدة طبقاتِ 
على طول سلسلة التزويد. إن أنظمة تخطيط موارد المؤسسة (ERP)‏ الموجودة 
في شركات التصنيع أو تزويد الخدمة قد مكنتها من جعل عملياتها SBT‏ إلى 
الكمال» ضامنين Ob‏ الموارد متوفرة لإدارة العمليات بدون توقف. ترتبط 
كذلك أنظمة (ERP& EDI)‏ بأسواق توزيع البضائع والخدمات التي تقوم بها 
الشركة. وفي بعض الأحيان يرتبط الزبون بأسواق التوزيع مباشرة من خلال 
تقنيات (CRM)‏ وكما شرح سابقاء قد يتواصل الجميعٌ عبر الابتكار التقني» 
على طول سلسلة التزويد الكاملة ابتداء من الزبون حتى المزود. تسبب هذه 
Sp else E a‏ ع اماس a GAS NV‏ 
قبل التهديدات. يتوجب على الشركات امتلاك القدرة على تحديد الثغرات 
الخطيرة على عملياتها المتواصلة فتقوم Vol‏ بحمايتهاء بينما تحمى الثغرات 
الآخرى» BY‏ خطراء في ما بعد. 


زيادة عدد الزبائن والحفاظ عليهم 


يميل الزبائنُ إلى التعامل مع الشركات ذات السمعة الحسنة» التي تقدم 
الآخرين» وتتعامل مع المستخدم بشكل وذي. يستطيع الزبائن» في بيئة 
السوق العالمية الحاليةء التعامل افتراضياً مع Gi‏ شركة في العالم. لم يكن 
هذا ممكناً في الماضي» فلقد كانت الشركات معزولة عن المنافسة العالمية 
بفعل الجغرافياء والعملات» واللغات. إن ذلك لم يعد موجوداً في سوق 
اليوم. 

لكي تكتسب سمعةً حسنة يجبُ على الشركة النجاح في أمرين: أن تعرض 
أعروة Slee‏ ان aly elas‏ تلك سحل اداو Grae‏ به “قن pak‏ 
الإنترنت» تنتشر الإخفاقات فى هذين المجالين كالحريق الهائل» فمن الممكن 
الوصول إلى سجلات الشركة بلمسة زر. إن CGI‏ السوقٍ العالمية قد عَرَّرَ 
المنافسة القوية بين الشركات» إذ يستطيع. الزبائن: OV‏ المقارتة بين متحجات 
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العديد من الشركات للحصول على السعر الأكثر تنافساً. تؤثر كذلك تجربة 
الشراء وسهولتها في قناعات الزبون. إن تضافر JS‏ هذه المعايير قد Eo‏ البيعَ 
أو يوقفه. إذا فشلت الشركة فى أي أمر من هذه الأمورء فإن إمكانية زيادة عدد 
Anat pple blidly ool‏ كير Jul‏ 

يجب أن ESLI Geek‏ إلى أن معلوماتهم مهمة للشركة وسوف Bini‏ 
eis‏ على ممل الال فى gl Ht UL‏ تيرم من خلال شيك 
الإنترنت» من الضروري امتلاك الشركة آليات أمنية تحمى بطاقة ائتمان الزبون 
أثناء الإرسال عبر الإنترنت. إن إجراءات الحماية مثل الا المخدة الآمنة 
وجلسات الإنترنت التي تضمن الخصوصية» قد تسهل هذا الهدف. فور 
الحصول على المعلومات من الزبون يجب أن توضع تحت الحماية» فثقة 
الزبون هي الهدف. 


المسؤولية الحرفية 

لا بد لإخفاقات الآمن من الحدوثء. فالشركات التي لم تقع في قبضات 
الاعتداء على أمن معلوماتها نادرة. إن مستخدمى الحاسوب الشخصىء أيضاء 
على دراية ببعض التبعات المدمرة بسبب اا الحماية غير الكافية 00 
فيروسات الحاسوب أنظمة الحاسوب مدخلة الديدانَ وأحصنة طروادة» مخربة 
رموز الحاسوب ومسببةً بذلك ساعاتٍ من الإحباط. إن تكلفة هذه الثغرات 
غاب اليه إلى اا ا و عضو E E‏ ی الس 
المتشابكة الهائلة. قد تخسر بعض المؤسسات ملايين الدولارات يومياً بسبب 
هذه الاعتداءات. 

تواجه المنظمات في JS‏ من القطاع العام والخاص تحذياً آخر أيضاً 
عندما تُستغل ثغرات نظامها. يتمثل هذا التحدي في السؤال الهامٌ: هل من 
الأفضل إعلام السلطات بالهجمة» وهل تُنشرٌ المعلومات بخصوص الهجمة 
على العامة؟ 

إن تقديمٌ تقرير حول حوادث أمن المعلومات إلى السلطات أمد حساسٌ 
بطبيعته. ولكن من جهة» تحتاج الشركة إلى المساعدة من كل الجهات وإلى 
عدم إفشاءِ أسرارهاء إلا أن السلطات من جهة أخرى ملزمة قانونيا بتسجيل 
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التقرير حول الحادث والإعلام عنه من أجل أهداف الرقابة والتحقيق. إن مكتب 
المباحث الفيدرالي (FBD‏ في الولايات المتحدة على سبيل المثال» هو الجهة 
المنوط بها التحقيق في موادت الجرائم المعلوماتية في القطاع TE‏ 
القطاعٌ الخاص Lad‏ فرقاً سريةً للتحقيق القضائي ذ في الجرائم المعلوماتية كي 
dels‏ في تذليل الصعوبات وحماية البنية التحتية. ينتفع bai‏ القطاعٌ العام من 
خدمات ال «(FBI‏ ولكن المنظمات الحكومية الأمريكية التى لعملها صلة 
بالأمن الوطني يجب أن تُخبرَ Lal‏ وكالة الأمن (NSA) ab ll‏ 


لقد تم تأسيس العديد من فرق الاستجابة لطوارئ الحاسوب (CERTs)‏ في 
جميع أنحاء العالم» لتساعد المنظمات في العودة إلى الوضع Spe)‏ من بعد 
الاعتداءات على الحاسوب. إن كلا من القطاعين العام والخاص يستفيدان من 
خدمات .(CERTs)‏ إنها مفيدةٌ للغاية أثناء الاعتداءات الأولية على الأنظمة 
الآلية. ابتدعت فرق (CERTs)‏ تقنيات إثبات عديدة لتحديد المعتدي وا 
الإرشادات حول ole]‏ التهديد الحالي. 


إن الإعلانَ عن الاعتداءات والاختراقات في أمن المعلومات إلى العامة هو 
آم تخاس Lal‏ إذ قد يؤدي إعلانُ إخفاقات الأمن إلى آثار وخيمة. فبينما 
يوجد من يقول ob‏ على المنظمة مسؤوليةً حرفية وعليها أن LS‏ عن هذه 
الاختراقات من أجل حماية مصالح cog II‏ يوجد كذلك من يقول بعدم الأخل 
بهذه الخطط الإخبارية. إن PLY!‏ عن ثغرات الأمن بحد ذاته» قد يؤدي إلى 
تصاعدٍ في الهجمات المماثلة على الثغرة نفسها. 


يجب على الشركة أيضاً أن Jeb‏ في حسبانها ob‏ الإبلا عن خللٍ أمني 
قد Gop‏ إلى خسارة الزبون وفقدانٍ ثقة المستثمر. فإذا ما تبخرت pial is‏ 
والزبون» فإن الشركة لن تكون فقط مضطرة إلى الإسراع في ترقيع الثقوب 
الموجودة في أمنهاء وإنما ستضطرٌ Lad‏ إلى إعادة طمأنة الزبائن والمستثمرين 
بأنه يجري اتخاذ الإجراءات المضادة لإيقاف الهجمات القائمة وتلك المقبلة. إن 
رقوة أفعال الزبائخ والمسكمرين العفوية» ‏ ستضاغف: وتطيل. الصعوبات: 


إن على الشركات التي LIS‏ مع شركاء بسلسلة التزويد» مسؤولية إعلام 
شركائهم بالخلل الأمني الحاصل بُغيةَ الحد من انتشار ثغرات الأمن المدمرة 


66 


تبيّن المقالة «دراسة حالة مشهدٍ "Case Study Scenario, the «(Jani‏ 
iPremier Company (A): «Denial of Service Attack»‏ التي نشرها قسم إدارة 
الأعمال فى جامعة هارفرد عن حالة شركة مفترضة تعرضت للاختراق المعروف 
ب eye‏ من الخدمة» (DOS)‏ الفوضى التي تنتج عند إخفاق أمن 
المعلومات داخل الشركة. على الرغم من أن هذا السيناريو ليس حدثا فعلياء إلا 
أن الأفعال المتخذة في هذه الدراسة تشبه بشكل ملفت للنظر الأفعال التي تقوم 
بها الشركات خلال الهجمة الأولى على (أمن معلوماتها). من المستحسن 
Jea‏ على نسخة من هذه الدراسة كوثيقة تدريبية لآجل جميع المستويات 
داخل المنظمة )2001 (Austin,‏ . 


أمن المعلومات لعبة خاسرة 


تعدا oI‏ سعدا مي NT gy Ba)‏ عد لا ie ae‏ ن sh‏ 
عدم حدوث شيء هو أمر غير مقنع للإدارة العلياء والمدراء التنفيذيين» وأعضاء 
نجل لادا Gade 0 TO ENE‏ عرفا أن النجاحَ يعني عادة أن 
شيئاً ما قد حدث. إن إعادة تنظيم أدوات القياس لدينا من أجل برهان أن حالة 
عدم حدوث شىء هى فعلاً جيدة» لهو أمر صعب Pee‏ أحسن الأحوال. تواجه 
وزارة الأمن الوطنى الأمريكية litle (DHS)‏ مشابهاً. 13 oJ‏ دت ted‏ فد 
الوزارة (DHS)‏ ناجحة؟ من الصعب قبول هذا المعتقد OY‏ النجاح في المفهوم 
التقليدي Gye‏ عادة على أنه التحسن في مؤشرات مالية قابلة للقياس. 


على Ul‏ حال» يمكن الحصول على مؤشرات قابلة للقياس إذا كانت 
لدينا وضعية أمن معلوماتٍ قوية. وبرغم أن المؤشرات القابلة للتكميم في 
UL‏ أمن المعلومات هذه ليست من النوع المالي» إلا أن عدد الهجمات 
الكامنة التي تم صدها بنجاح تقاس رقمياً. وإذا كانت آليات أمن المعلومات 
جيدة فهي قادرة على جمع المعلومات حول هذه الهجمات المحتملة. ويجب 
أن كر كو pl UE gale‏ الم مات على كا من Ss SU Seat‏ 
cea‏ هذه. 


إن عملية الإبقاء على وضعية أمن قويّة مهمة لا تنتهي dai‏ فالمحيط 


Ca تتطور‎ ee out ob rae + Fitts bene pi 
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الاستثمار في أمن البنية التحتية الذي لا ينتهي. على أية حال هذا هو الأمن, 
وهذا هو اسم اللعبة. 


لقد fe‏ التطورٌ التقني Gober‏ السوق» فلقد GK‏ الشركات من المنافسة في 
أسواق لم يسبق لها أن وجدت من قبل» وبطرقي لم يسبق حتى تخيلها منذ dis‏ 
مضى. يستطيع الموظفون الآن أن يعملوا في بيوتهم عن طريق الحاسوب بدون 
الحاجة إلى وجود مكتب في مركز المدينة التجاري. وبإمكان الموظفين أيضاً أن 
يعملوا افتراضياً من GÍ‏ مكلو في الجالم باستعمال الحاسوب المحمول أو حتى 
المساعد الرقمى الشخصي (PDA)‏ الذي هو بحجم كف يدك. ولكن مع هذه 
المرونة تأتي أيضاً الثغرات والزيادة في التهديدات. 

تكون البنية التحتية لأمن المعلومات جيدةً بقدر ما تكون أدواتها 
ا ee Silas‏ ا lL‏ ا tdi‏ 
بحاسوب مخدم يؤمن شبكة افتراضية خاصة (VPN)‏ مزودة بإمكانياتٍ 
للتعمية (للتشفير) تسمح لك بأمان إقامة اتصالٍ aad‏ آمن بشبكة شركتك مع 
شهادات توثيق الهوية الخاصة بحاسوبك. إن تقنية الأمن هذه قوية بحسب 
أغلب المعايير» لكن تخيل استخدام حاسوبك المحمول عندما تكون في دولة 
أخرى مستعملاً خطوط اتصالات قد تكون خاضعة للمراقبة من قبل أطرافٍ 
GH‏ نة إن tie‏ الصفقات عبن هذه coal le OK bball‏ 
ومن الممكن أن يكون معرضاً حتى للاستغلال. إن احتمال حدوث خلل أمني 
“al‏ بديهي. 

تخيل مجدداً الحاسوب المحمول نفسّه مع OUT‏ لأمن المعلومات ذاتها قد 
GY‏ من قبل سارق ما. إذا كانت لدى هذا السارق نيةٌ خبيثةٌ ومعرفةٌ عملية 
ase iad oes GIG‏ افا افون NE TV‏ 
المعتمدةٌء الحاسوب المحمول في هذه الحالة» تهديداً خطيراً على البنية التحتية 
للأمن» رغم أنها تبدو قوية ظاهرياً. 

دعنا نتوسع في هذا الموضوع أكثر قليلاء تخيل زبوناً ما يدير عملاً مع 
شر كتك› bole‏ قد لا يكون الزبون ضليعاً في الحاسوب» ولكنه يعلم ما يكفي 
لإنجاز صفقة تجارية عبر الإنترنت. من ناحية ثانية لا يملك الزبون جدارَ «نار) 
في حاسوبه. يستخدم الزبون اتصالاً ذا حزمة عريضة من الترددات» وبذلك فهو 
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ae‏ ت بف مهيز كما انه قن Slee‏ بعل ترك يعاشيوية ف حالة 
عمل دائم Leal‏ ووت عزوت ر بيعل ياف Liles‏ 
(Hacker)‏ قد اكتشف رسائله الموجودة في الحاسوب وتتبعها وأنه قد حمّل 
برنامجاً على نظام التشغيل لديه يسمح للقرصان Bo‏ تعاملات الزبون حسب 
هواه. وبما أن الزبونَ قد أجرى تعاملاتٍ مع شبكتك» فإن Lb‏ واضحا إلى 
بياناتك الحسّاسة قد قُتِحَ Ole AU‏ يقوم القرصانُ بسرقة جلسة الزبون ويبداً 
باستغلال أنظمة حاسوب شركتك. بالاعتماد على آليات الأمن الموجودة فى 
CLE A‏ قد leet‏ أو cole Jind Y‏ .وقد تكون قادرا وقد لا کن 
قادراً على التصدي له. 


إن التكلفة المنخفضة لتنصيب الشبكات المحلية اللاسلكية (WLANS)‏ قد 
جعلت هذه الشبكات بديلاً جذاباً للشركات. نظراً إلى أن العديد من الشركات 
تستخدم مساحاتٍ مكتبية مستأجرةً» وباعتبار أنها معتادة على التنقل إلى 
مساحات جديدة كل سنتين» فإن البنى التحتية لشبكات (WLAN)‏ تعد مريحة 
وفعالة جداً من حيث كلفتها المنخفضة»ء كما إنها بديل مرن عن البنية التحتية 
للشبكة المحلية السلكية الدائمة (LAN)‏ غالية التنصيب. إلا أن الشبكات 
اللاسلكية تحتوي ثغرات dud‏ خطيرةً إلى أبعد الحدود؛ إذ x‏ تعد الشركة قادرة 
على حماية شبكتها ببساطة من الاستخدام المحظور عن طريق استخدام تقنيات 
أمن المعلومات المادية أو الملموسة مثل حراس الأمن والأبواب المقفلة. 
Gee yy‏ هعلق الشركة OF OY‏ حص SLD ole pel‏ الى جلك مضه RA‏ 
الع te Of KL AK LAU‏ مشابة الوضيغ ماحل لكك السلكية 
(Ethernet)‏ فى موقف السيارات لشركتك!!!) )2003 (Reid and Seide,‏ . يجب 
حماية البنية AS AU deel‏ اللاسكية (WLAN)‏ بنفس العزم: الذي ie‏ على 
حماية أي شبكة أخرى. 

يتضمن أمن المعلوماتٍ على شبكات الحاسوب العديد من الشراك 
والقضايا. إذ قد تعاني المنظمات ردود الأفعال العفوية بعد استغلالهم باعتداء 
ماء فقد تقع الشركاتُ في فخ GUY‏ المفرط على أمن الحاسوب. فقد تستثمر 
الشركات التى لا تمتلك خبرة dls‏ بشكل كبير فى إجراءات الأمن مما يجعلها 
تتصدى TA‏ للتهديد الحالى» لتجد بعد ستة أشهر أن إجراءات الأمن هذه 
غير قادرة على التصدي ا جديدة. وینتج من ذلك استنزافها ميزانيات 
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مارا يتك كدير ما Mets GLY faa‏ "فى تعبات اف Sed‏ 
لدو gles‏ واه ol ty Gu Sl Jad‏ بارت aa Ca A‏ 
بداخله المال. وحتى لو لم تكن الموارد المالية عثرة» إلا أن جميع أموال العالم 
قد لا تحقق النتائج ج المرغوبة بدون خطة إستراتيجية طويلة الأمد لأمن 
المعلومات. 


لا Jip‏ هناك ee eel‏ مانا ألا وهو cel‏ 
الخاطئ ob‏ أمنها مُطمئن. يُعرفٌ هذا الفخ ب «متلازمة الحادي عشر من أيلول/ 
سبتمبر) (September 11" Syndrome)‏ . تفترض الشركات في هذا الفخ أنه 
ونظراً إلى أنها لم تعانٍ أبداً من الاعتداء في الماضي» فهي محمية من 
الاعتداءات في المستقبل. قد تعتقد كذلك ob‏ أنظمة حواسيبها لا تحتوي على 
بيانات زبونٍ حساسة أو بياناتِ متعلقة بطريقة التشغيل» ولكن في الحقيقة إن 
لديها العديد من سجلات البيانات الموجودة في عملياتها التجارية اليومية 
والتشغيلية ولكنها لا تدركها. بشكل عام إن Sui‏ والآباء البسطاء معرضون 
مثلهم في ذلك مثل: الشركات ال 500 الأكثر ثراءً في العالم والموجودين في 
لائحة مجلة Fortune‏ . 


لاس Lee ol‏ و tee Ni‏ ا عن للق ال Dray ees‏ 
es sah‏ “مد ee ai Ae ER ls‏ الكاسرييه Sie cede‏ 
الزبون الحساسة بشكل مستمر. وقد تكون انعكاساتُ هذه الهجمة هائلة ويتعذر 
إصلاحهاء ومن المحتمل أن تنهار الشركة في يوم واحد حسب طبيعة ومدى 
الاعتداء. 


تقوو كارك lace‏ السو اه وو ى معني إن سانا 
اققات البازعة pl‏ ملي الاي ولكن gl Slag Byles‏ تكون غير 
By‏ هو Ast pel Lal‏ مره OKU Evol all SL‏ عديلة ابعداء عن بين 
2 سنة المؤذي» المعروف بالطفل (Kiddy) pe‏ إلى القرصان أو الإرهابى 
glared, ca Nes atc‏ ی تح lel‏ قير 
محدود» ولكن لا بد من التمييز بين نوعين من التهديدات» فهي إما أن تكون 
تهديدات خارجية أو داخلية. i‏ 

إن الانطباع السائد هو أن التهديدات الخارجية هي الأكثر اختراقاًء إلا أن 
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هذا الادعاء خاطىءٌ clus‏ فالتهديدات الأكثر شيوعاً تأتى من مصادر داخلية. 
coe)‏ کل ف وا و لك بان ار ا یی 
ومدراء الشبكة» وموظفو خدمة الزبون» والطاقم الإداري» وأطقم المحافظة 
على الحدائق» وعمال التنظيف» تهديداتٍ داخلية. يتمتع العديد من هؤلاء 
الموظفين بوصول cle‏ إلى مصادر معلومات الزبون. وبينما قد تزيل OUT‏ 
التحكم بالدخول العديد من التهديدات الداخلية إلا أن بعضاً من الموظفين 
سيبقى يتمتع بالوصول الكامل إلى البيانات المخزنة على أنظمة حاسوب 
الشركة. رغم أن هذا غير مرغوب» لكنه في الوقت ذاته لا يمكن تجنبه. على 
سبيل المثال: يتمتع مدراء الشبكة في العديد من الشركات بالنفاذ الكامل إلى 
جميع البيانات. إنهم يحتاجون عادة إلى هذا النفاذ لضرورات العمل للتأكد من 
أن العمليات اليومية للشركة ممكنة. ولكن إلى GI‏ مدى يكون مدير شبكة 


إن فكرة التهديد الداخلي هي EE ES‏ ومستهجنة من كل الأوجه. يؤثر 
Ebel‏ هذا التهديد في كل من الثقافة» والجو ونظام القيم للمنظمة وحتى 
العظم. لن ينظر الموظفون باستحسانٍ إلى المراقبة الدائمة لنشاطاتهم اليومية. 
وسيشعر الموظفون وكأنهم لا يدينون للشركة GL‏ مشاعر الولاء إذا كانت 
الشركة نفسهًا لا تثق بهم GUS‏ لينجزوا عملهم بسرية وثقة. مع ذلك فإن 
الشركة واقعةٌ بين نارين» Jail OY‏ في مراقبة نشاطات موظفيها هو مسؤولية 
l asi‏ 

تثير المصادر الخارجية تهديداً أصغرء ولكنه ليس أقل كراهة. إذ تواجه 
التهديدات الخارجية تحديات كبيرة فى إحراز النفاذ إلى أنظمة الحاسوب لأنها 
لا تمتلك ميّزة Pky‏ علي Job ge opie‏ الشركة. تتطلبُ i‏ آلية أمنية 
مطبقة على نظام الحاسوب وقتاً pt}‏ لذلك يتجنبُ القراصنة أحياناً الأنظمة 
التي تتطلبٌ تكريس جزء كبير من وقتهم لتحقيق الاختراق» وبالطبع يكون تدمير 
الأنظمة ذات الحماية الواهنة أسهل بكثير. في الواقع إذاء المسار الأقل مقاومة 
للاختراق هو الأكثر Ley‏ للقرصان الخبيث. 


مثلما توجد فروقٌ بين التهديدات الداخلية والخارجية» توجد كذلك 
مفارقاتٌ بين أهداف التهديدات المختلفة. فقد ينوي بعضٌ القراصنة أن يعطلوا 
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فقط قدرة الشركة على إدارة العمل» وكمثال على هذا الاعتداء «هجمة الحرمان 
من الخدمة الموزعة» (DoS)‏ التى تعيق قدرة الحاسوب على معالجة التعليمات» 
وبالتالى تخفف من قدرته EOE?‏ العمليات الحساسة» وربما تجبرٌ الشبكة 
I Le‏ تيمس ye SS Goad‏ القراضية ساط إلى الو حل 
الشبكة لتصمّح المصادر من أجل كسب الاعترافٍ بتفوقهم من قبل القراصنة 
الآخرين. إلا أن بعض القراصنة يهاجمون بخبث أنظمة الحاسوب ليصلوا إلى 
البيانات الحساسة للزبون أو AS AU‏ مثل السجلات المالية ومعلومات بطاقة 
الائتمان» أو يسعون إلى إحداث ضرر خطير. من الواضح أن المعتدي الخبيث 
هو صاحب التهديد الأكثر خطورة بالنسبة إلى الشركة. 


الخط الرفيعُ الفاصل بين الذكاء Godly‏ (في أمن المعلومات) 


يحتوي الفيلم بعنوان «(خزعة النخاع الشوكي» (This is Spinal Tap)‏ على 
واحدةٍ من أفضل الجكم على مر العصورٍ وهي : ايوجد خيط رفيعٌ بين (SUI‏ 
والأحمق) )1984 (Reiner,‏ . تعد هدا السطر صحيحاً في عالم التجارة أيضاً 
خاصة في سياق أمن المعلومات وتأمينها. إن تحقيق التوازن بين الذكاء Goodly‏ 
هو مسألة فن AST‏ من اعتبار ذلك علماً. الور انتيده كل sauia‏ 
ما هو الشيء الاحمق وما هو الشيء الذكي. 

ما هو الأمر الأحمق؟ إن إحدى الطرق لبداية عملية تحديد الأمر الأحمق 
هي العمل عكسياً. مثل ممارسة الهندسة العكسية بجميع أنواعها. حتى يكون 
نظام الحاسوب آمناً مئة بالمئة يجب أن لا يكون موصولاً. مئة بالمئة» GY‏ 
شبكة» وبالتالي فهو عديم الفائدة. يستنتج من ذلك أن هذا الحل لا يمتلك 
صفات الأمن المطلوبة. فإذا ما وَجَدَ الزبائن» والشركاء فى سلسلة التزويد» أن 
TaN ally.‏ ا gob‏ سيكنون طن بسار ل ف Sipe‏ 
التعامل مع شركات أخرى. 

لتحديد ما هو الأمر الذكي» يجب أن تعمل الشركة على تحديد مستوى 
الأمن الذي يزود الشركة بأفضل bel Lents‏ انع مسوم مقبول من المخاطر. 
تتضمنُ عملية إجراء تقييم PY eats‏ المخاطر» النظر فى المواصفات التقنية 
لبنية الشبكة التحتية me‏ قلت المملوماك دمع BUS‏ عمليات الشركة 
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الخاليك [outs‏ هذه المعلومات عق متطلنات_وظائتك الشركة caste‏ 
والمتطلبات التشغيلية» والكفاءات الجوهرية» ومهام الشركة» وإدراك مطالب 
الزبون. ثم يُقرنُ تحديدُ ثغرات البنية التحتية ويطابقٌ بينه وتحديد التهديدات 
الي GUS day Gully‏ هم المعطيات alate!)‏ 


تجمعٌ هذه البيانات وتحلل من خلال عملية تقييم أثر المخاطر. من 
الضروري أن JR‏ أغلب» إن لم يكن جميع» خبراء الوحدات الوطنية في 
الشركة أثناء عمليات تقييم أثر المخاطر لكي تحدد وتصادً المتطلباث التشغيلية 
والحاسمةٌ والاستثنائية اللازمة لضمان استمرار عمليات الشركة. JAE‏ بعد ذلك 
Staal‏ والتهديذات المخددة لتعيين أي متها ER‏ الأولؤية الأغلى: ثربط هذه 
الأولوية dale‏ بالمهام الحساسة لهذه الوحدات. 


ped الت كن‎ BA Slay SI al bas كن أن‎ 

عمليات الشركة على الوقوف» الأولوية St sl ul 6 he‏ والتهديداث التى 

تسبب تأثيراً أقل edela‏ أو التي تكون غير محتملة الاستغلال» فتعطى F‏ 

أدنى. بعد تحديدٍ الأولوية الا للثخرات والتهديدات؛ ped‏ استراتيجيات 

تقليل أو إزالة هذه الثغرات والتهديدات» مع الأخذ بعين الاعتبار التأثيراتث 
ULI‏ المتعلقة بطرق fool‏ لتطبيق UY ode‏ الأمنية: 


الموافقة الرسمية (على مستوى أمن الشركات) 

من الواضح أن حماية المعلومات وتأمينهاء في اقتصادٍ اليوم المُعولّم 
والالكتروني والمشبّك أو المترابط» تثيرٌُ قضية هامة لجميع المنظمات. لقد تم 
عقد العديد من المناقشات والمنتديات في كل من القطاع العام والقطاع 
الخاص» لا سيّما حول التحديات التي تواجهها المنظمات اليوم فيما يتعلق 
بالموضوع. إذا ما أخذنا بعين الاعتبار أن الشركات تواجه ثغرات خطيرة غالبا 
بسبب اتصالها بعضها بالبعض» فإن إجراءً التعاملات الالكترونية مع الشركة التي 
لا توظف آليات أمنية قوية هو مسؤولية قانونية كبيرة. 

إن واحداً من الاقتراحات التي برزت هو اقتراح وضع سلّم أو مؤشّر 
be gle gal Gene‏ للشركات: يكن peed‏ هذا السلم بشكل alae‏ لذلك 


المطبق لدى مؤسسة Underwriters Laboratories‏ الأمريكية التى تصنف 
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Les Oly pt‏ اعرد« اوا .ومن fas das, Stel Pia pules‏ أذ الشركة 
تمتلك سياساتٍ حكومة وإجراءاتٍ تقنية للبنية التحتية تجعل تلك الشركة أكثر 
(Beach, 2003) TA‏ . ل شيلم مستوى الآمن هذا كَمُطمئن للشركات الأخرى 
بأن هناك بعضاً من الركون إلى أن شركاءهم في سلسة التزويدٍ آمنون» كما أنه 
قد Seek)‏ الزبائنَ Ob Lad‏ معلوماتهم محمية. 

ستكون Ange‏ هذه الجهة الضامنة تقييمَ البنى التحتية للشركات تبعاً لتطور 
معايير التأمين والأمن. وقد تعمل هذه الجهة كذلك كدار مقاصّة لأفضل 
الممارسات فى أمن المعلومات وتأمينها مساعدة بذلك الشركات كن get‏ 
diss‏ ی 1 

إن الحصول على الوثيقة سيكون Mee‏ اختيارياً تقوم به الشركة التي تطلب 
ترتيبها في تحقيق أمن المعلومات. 

لن يكون للجهة الضامنة GI‏ دور تنفيذي» ولكنها قد تعمل كجهة تستطيع 
أن تمنح تقديراً لحالة الأمن مرتكزةً على التقنيات الموجودة لدى الشركة. يجب 
Fes‏ مدة 'للرقابة الدورية على أمة المعلومات :لمان أن الوتيقة لا dbs‏ 
Le‏ إن says IS Golgi! Sole]‏ كل سن عن الد Sal ge ASS‏ 

التبعات القانونية 

إن المحافظة على المعلومات الخاصة بالزبون تحمل معها مسؤولية قانونية 
هامة» فسجلات الزبون مسؤولية قانونية ضخمة بحد ذاتها. وبالإضافة إلى ذلك 
هي أيضاً أصولٌ لا يستهان بها. إن Lf‏ أسباب جمع معلومات الزبون هو أنها 
مووود لإجراء التعاملات الإلكترونية معه في المقام الأولء وقد تساعدٌ الشركة 
في الحصول على تعاملٍ آخر من قبله في المستقبل. 

bu‏ الزبائنُ تأمينَ مقدارٍ من الخصوصية والسّرية عند التعامل مع كلا 
القطاعين العام والخاص. ويجب أن يُطمأنوا ob‏ معلوماتهم الحساسة لن ترسل إلى 
أطرافٍ أخرى. إن بعضاً من هذا التأمين قد ورد في «قانون الخصوصية لعام 
4م في الولايات المتحدة مثلا. لقد توسع القانون أكثر في الإشارة إلى حماية 
المعلومات الخاصة بالزبون» وسيجري تناولها بالتفصيل فيما بعد في هذا الكتاب. 
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تتضمن بعض القوانين ع الأمريكية التي تتعلق بوجه الخصوص بحماية 
البياتات الخاصة بالزيون 0 قانون نتائج وأداء الحكومة لعام 1993م» وقانون 
تقليل الوثائق لعام 1995م» قانون (Clingercohen)‏ لعام 661996 قانون الألفية 
لحقوق النشر الرقمية لعام 1998م» وقانون تحسين أمن المعلومات الحكومية 
لعام 2000م» وقانون التوقيع الرقمي لعام 62000« والقانون المنادي بالوطنية عام 
e2001‏ < وقانون الحكومة الالكترونية لعام 2002م« وقانون (Sarbanes-Oxley)‏ 
لعام 2002م. 


قد تؤدي إخفاقات الأمن ‏ وهي كذلك على نحو متزايد - إلى رفع دعوى 
قضائية من قبل الزبون. قد تؤدي Ge‏ البيانات الخاصّة بالزبون بشكل غير 
ls‏ مسببة بذلك إخفاقات أمنية» إلى مسؤوليات قانونية من خلال المحاكم. 
ومن الضروري Cad‏ مثل هذه النتائج أن تباشر الشركات إلى وضع خطة عمل 
تنفيذية لتطبيق إستراتيجية تأمين المعلومات. 


تصميم استراتيجية تأمين المعلومات 
الآن وبعد أن أصبحتٌ على دراية بالثغرات والتهنديدات eu‏ اتخاذ 
الإجراءات أو عدمه» أنت بحاجة إلى تصميم إستراتيجية تدرك ‘Lib:‏ الشركة 
التشغيلية» Opiy‏ هذه المتطلبات بالحاجة إلى حماية أصول الشركة وزبائنهاء 
Gels‏ التعرّض إلى الكيانات التي ترغب بتسبب الضرر. 


كوي اراتا تأمين المعلومات على العديد من خطط العمل التنفيذية 
المستقلة والمتداخلة: خطة الشركة الإستراتيجية» وخطة العمليات الطارئة» 
وخطة العودة لو الوضع السوي بعد الكارثة, وخطة أمن البنية التحتية. 


أولاً: إن خطة الشركة الإستراتيجية هي خطةٌ متكاملة. ترسم هذه الخطةٌ 
«خارطة طريق» ترشدٌ الشركة فى المستقبل. يجب أن تحتوي هذه الخطة على 
المعلومات التى تحدد المتطلبات والمبادرات المستقبلية» والكفاءات الجوهرية» 
A NE ANEA E ea Sag‏ المالية: 


The Government Performance and Results Act of 1993, Paperwork Reduction Act of 1995, (+) 
Clinger-Cohen Act of 1996, Digital Millennium Copyright Act of 1998, U.S.Government Information 
Security Reform Act of 2001, E-Government Act of 2002, and the Sarbanes-Oxley Act of 2002. 
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والأدوار التي تلعبها البنى الإدارية» وتوقعات المساهمين» والطريقة التي ستتبعها 
الشركة لتكامل هذه التوقعات مع أهداف أداء الشركة. l‏ 

ثانياً: ii‏ خطة العملياتٍ الطارئة (COOP)‏ بالتفصيل كيف ستتصرّف 
الشركة عند حدوث أي تغيير في وضعية الشركة التشغيلية. إنها تركز على 
تفاصيلٍ LAS‏ عمل الشركة عند وقوع كارثةٍ من صنع | الإنسان أو الطبيعة gh‏ 
وقوع حدث إرهابي. E‏ مواقع عمل بديلة وبنية تحتية hisses Vises‏ 
العمل للتشغيلٍ عن بعد» والمخزون المطلوب من البرمجيات والتجهيزات 
الخاصة بالحاسوب» واستراتيجياتِ الحصول على التجهيزات» وقوائمَ SLAY‏ 
مع موظفي الطوارئ» ومتطلباتٍ الوصول إلى البيانات. 


الثاً: Soe‏ خطة العودة إلى الوضع Spd‏ من بعد الكارثة» المصادر 
التقنية الهامة Goby‏ استعادة المعلومات المخزنة على مثل هذه التجهيزات. Lgl‏ 
ترسم إستراتيجية تبيّنُ المصادرَ والمراحل المهمة التي يجب أن LE‏ من أجل 
العودة إلى الوضع الطبيعي بعد الكارثة. C55‏ المصادرٌُ التقنية الهامة حسبّ 
الأهمية iy‏ أوقاث الاستعادة المستهدفة. ÉS‏ هذه المصادرٌ الحاسمة 
Laal‏ بحدَّها الأدنى الضرورية لاستمرار عملياتِ الشركة. 


يجب أن iy‏ الحيطة عند تصميم خطة العودة إلى الوضع Sel‏ بعد 
الكارثة» إذ تميل المنظماث إلى ترتيب جميع المصادر على أنها مهمَّةٌء بينما 
تكون في الحقيقة غير هامة في المنظور الإجمالي. من الضروري تحديد فقط 
تلك المصادر التي يجب استعادتها من أجل استمرار العمليات. 

يجب أن تُحَدَّدَ أيضاً فى هذه الخطة الاتكالات المتبادلة للأنظمة ASV‏ 
Riedl E Sas‏ 

dbs 3453 stu,‏ أمن otal dood! dal‏ .والعينديدات المعروفة فى 
ye E a‏ السك GAS ASN wing‏ سان SN‏ الجا قد يفي 
أن تكون وثيقة ILS‏ وعند إضافة برمجيات وتجهيزات جديدة داخل الشبكة» 
فإن الخطة يجب أن تعدل لتطوق أية تهديدات أو «ثغرات» جديدة. إنها تشرح 
بالتفصيل الاستراتيجيات التى تحد من التهديدات» وآليات الأمن داخل الشركة. 
Ls‏ أنه HUIS yaad‏ وا ge Ball 100 day‏ ج Abd‏ اليل Egil‏ 
بالإضافة إلى جميع روابط الاتصالات. 
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Gas‏ خطة تأمين المعلومات» على الأقل» جميعٌ المصادر المذكورة 
سابقاً. PEF‏ لوجود متطلبات استثنائية Ea‏ معينة» فإنه يجب أن تدمج 
Lbs‏ إضافيةٌ إلى خطة تأمين المعلومات. تَرسْمْ Mad‏ تأمين المعلومات عموماً 
Sei pew)‏ شاملة لحماية الشركة في كل الظروفٍ وتأمين استمرار عملياتها. 

من الضروري edda Lis‏ زمني لكل مهمة» مثل الساعة المستهدفة 
لاستعادة العمليات الجزئية» ta sadis‏ اللازمة لاسترجاع جميع المقدرات 
التشغيلية. 


ا Ol‏ شر هة ا المعلومات elon‏ امام الشركة » 
کک ا تجری Ais lel Lae bel‏ 


ae 

ool ie E E E ا ا‎ EREE و‎ Sires 
UŽ Sg وينبغي أن يفحص هذا التفتيش الخطط الموثّقَةَ المذكورة سابقاًء وأن‎ 
pices) 'الموجودة :قن من ال اها‎ Kress) وستريات كوا اة‎ 
الاختراق» على أن تقوم به جهة فاحصة نزيهة.‎ 

تيلف قوفن اتان GRE‏ هدا عدب اغات الشركة ييحن أن 
تحمل LS‏ اختبار الاختراق Joe‏ الجدّء كما يجب أن Las‏ بدون اطلاع 
جميع الموظفين عليها باستثناء المدراء التنفيذيين بمن فيهم مسؤول أمن 
المعلومات. إن الإعلانَ المسبق لاختبار الاختراق سيؤدي إلى نتائج غير دقيقة. 

يجب OL a Gerd‏ المستتتجة من التفتيشن ee‏ ومن اختبار 
الاختراق» كما تجب المباشرةً بوضع استراتيجيات الحل لتخفيف ثغرات الأمن 
فى حال كونها ممثلة للاخفاقاث الحرجة. 


إجراءات الأمن الوقائية 


يبدأ تطبيق إجراءات الأمن الوقائية بالموظفين. وكما نوقش سابقاًء يأتي 
التهديدٌ الأعظم على أمن المعلومات من المصادر الداخلية. فتطبيق الإجراءات 
الوقائية على البرمجيات والتجهيزات فقط سيملك تأثيراً قليل الفعالية فى حماية 
البنية التحتية إذا ما وجدت تهديدات داخلية. l‏ 
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هي نموذج التعليم المرحلي. يتألف هذا Capel‏ من she‏ خطواتٍ للتعليم 
والتدريب. ed‏ الخطوة الأولى dole‏ كي تُبِيّنَ المبادىءَ GLI‏ والأهداف 
والإستراتيجية وراء أمن المعلومات. ويجب أن تتضمن هذه الخطوة التقنيات 
الرئيسية التي ينبغي أن يلتزم بها جميع المستخدمين» كما يجب أن تشرح ما 
يترتب على عدم الالتزام بها. ويُنصّح OL‏ ينتهي هذا التدريب بتوقيع الموظفين 
على «اتفاقيات المستخدم» التي تحدد الاستخدام المسموح وغير المسموح 
تُوضعٌ الخطوةٌ الثانية bole‏ وفقاً للمنظور الوظيفي. يجب أن يحتوي هذا 
التدريب على إجراءات الأمن الإدارية والوظيفية التى ينبغى أن يتخذها 
الموظفون للتقليل من تهديدات الأمن. 
Red‏ دوراتٌ تدريبيةٌ أخرى للمسؤولين عن أمن المعلومات في داخل كل 
قسم» ولموظفي عمليات الشبكة. يجب أن يتم تدريب موظفي عمليات الشبكة 
باستموارغلى امت راتات امن المعلومات المتطورة هيد aitada‏ 
الحالية. 


تعيين مسؤول AW‏ 

من Mell‏ تعيينُ مسؤولٍ رئيسيٌ عن أمن المعلومات (CISO)‏ يكون مسؤولاً 
عن تصميم إستراتيجية تأمين معلومات الشركة ومراقبتها. من المستحسن أن لا 
يكون هذا الموظف هو نفسه مسؤول إدارة المعلومات أو مسؤول المعلومات 
الرئيسي» لتجنب تضارب المصالح. ينبغي أن يرتبط المسؤول الرئيسي عن أمن 
المعلومات بالمدير التنفيذي أو المدير العام للمنظمة. 


حماية موقع أنظمة الأمن 

يتألف موقم أنظمة الأمن من عناصر البنية التحتية داخل الشركة» 
المحمية بواسطة آليات الأمن. تحمي هذه SUV‏ الموقعَ من الاقتحامات 
الالكثرونيةء وأيضاً .من SULLY‏ المادية من قبل الأشخاضن أو الكيانات 
المحظورة. 
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قد يحمي كل من حرّاس الأمن» وآليات التحكم بالأبواب مثل الأقفال» 
مق GLI‏ المادية + ومن oe‏ كاف الخ ى هذه SULA‏ 
بوضع Sle‏ الحاسوب التي تخزن سجلات البيانات في مناطق لا يمكن 
الوصول إليها بسهولة من خلال النوافذ والأبواب. 


إن استخدام مجموعة من تقنيات البرمجيات والتجهيزات قد يحمي من 
الاقتحامات الالكترونية. ولكن يجب أن تُرسّمَ لآليات أمن المعلومات هذه 
ik‏ مفصلة لتعمل بشكل فغال. ونظراً إلى GF‏ تطبيقَ جميع أجزاء آليات الأمن 
هو أمرٌ مكلفٌ ومعقدٌء فمن المستحسن تطبيق الإجراءات في تسلسل مرحلي. 
إن الإجراءاتٍ التي تجابه أوسع Gls‏ من الثغرات تكون عادةً أكثر الوسائل 
فعَالِيةَ لأمن البنية التحتية. ومن الأمثلة على هذا النوع من الإجراءات البرامج 
soled‏ للفيروسات وجدران isn‏ هذه الإجراءات إجمالاً الخطواتٍ 
الأساسية في بناء الموقع» فحالما يتم تطبيقها بشكلٍ LAE Ju‏ خطواتٌ 
أخرى لتعزيز الموقع» مثل تنصيب آليات التحكم بالدخول» وأنظمة كشف 
الاقتحام... الخ. إن التفسيراتٍ الموجزة المبينة أدناه تشر الأجزاءَ الرئيسية 
لموقع أمن المعلومات. 


ole,‏ الحماية المضادة للفيروسات 


تمثل برمجیات الحماية المضادة للفيروس الحد الأدنى في I‏ موقع لأمن 
المعلومات. Laai‏ البرمجيات المضادة للفيروس bole‏ في JS‏ حاسوب يستعمل 
دة Lea ay‏ . يجب أن تبقى SUL‏ الإرشادات حول البرمجيات المضادة 


للفيروس Bad‏ بشكل منتظم لتعمل بشكل SES‏ 


خدمات إدارة البرجيات 


و 


bid‏ مخدماتٌ إدارة البرمجيات Gis (SMS)‏ تحديث برمجيات نظام 
eel‏ لد li ale‏ تسسا SHV‏ والموضولة عن SARS‏ 
يجب أن تبقى برمجيات nls‏ التشغيل Le bey Bie‏ الثغرات التي 
GES‏ باستمراز من قبل SE Ete ere‏ رفغ «التحديث من قبل 
المصئّع. تقوم برامج (SMS)‏ بدفع هذه التحديثات إلى كل حاسوب iasta‏ 
بذلك ST‏ النسخة الأخيرة من نظام التشغيل قد تم استخدامها. 
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جدران النار 


إن óla‏ النار (Firewalls)‏ هي SLJ‏ أمن معلومات تمنح أو تمنع 
الوصول إلى مواردٍ المعلوماتٍ الداخلية من قبل جهة موجودةٍ خارج الموقع 
المأمون» أي من الإنترنت مثلاً. تشابه جدرانٌ النارٍ Le‏ دخولٍ السفينة. يُمَحُ 
الدخول إلى المستخدمين الذين يملكون التصريحَ اللازم للوصول إلى المصادر 
الموجودة داخل الموقع» أما المستخدمون الذين لا يملكون التصريح فيحرمونَ 
من الوصول إلى المصادر الموجودة داخل الموقع. تأتي pte‏ النار على 
شكلين» وغادة ما يُستعملانٍ معاً. إن الشكلّ الأول من جدار النار هو جهاز 
الكتروني» أما الشكل الآخر فهو برنامج. قد تأتي جدرانٌ النار أيضاً على شكل 
جهاز لحاسوب معيّن. إن هذا النوع من جدران النار مثاليٌ للمستخدمين الذين 
يعملون عن بعد خارج موقع أمن الشركة. 


آليات التحكم بالتفاذء أو الدُخول إلى المعلومات 

SLT pad‏ التحكم بالدخولٍ هدف الطلب من المستخدمين تقديم 
المعلومات Ai pt‏ قبل أن Jane alle pal Gams‏ إلى مصادر المعلومات داخل 
بوت الحماية. تتألف AS‏ التحكم بالدخول ble‏ من حاسوب مخدم زاخر 
بتطبيقات التحكم بالدخول. تكون تقنية آلية التحكم بالدخول ال eae ie‏ 
للمستخدمين. ضع dole OF risen‏ حقوق نفاذ lay‏ للمجموعة ا التي 
ax‏ لها كل te‏ قد Like‏ التحكمٌُ بالدخولٍ Lad‏ التوثيق أثناء كل جلسةء 
زكرن ذلك عادة ی AAU‏ أشي epee als gece‏ ا 
اسم المستخدم وكلمة السّر الصحيحة الدخول إلى المصادر المطلوبة. تعد اليات 
التحكم بالدخول UES‏ في منع سرقة البيانات من قبل التهديدات الداخلية 
والخارجية. 


أنظمة كشف الاختراق 

Ja C25 bare بعد‎ sel اله إلى‎ QDS) GI YI Gass Lat إن‎ 
بانتظام. ولكن يجب الحفاظ على طريقة عمل هذه الأنظمة‎ Gil ss صحيح‎ 
at dnl هديد ل أغلث‎ day Yulee Calg ey aL بضر‎ 
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sb‏ مق ake‏ يودي تايل المعلومات فق سجلات الأخدات إلى تخديد 
late‏ و/ أو النشاطات والإجراءات غير ا وعادة ما يُفْرَض Ge‏ 
إضافيٌ على التعاملاتِ الجارية على الشبكة من خارج موقع الحماية. إن أنظمة 
كشف الاختراق فعّالة في منع سرقة البيانات من قبل التهديدات الداخلية 


والخارجية. 


آليات التعمية (التشفير) 

ad التعمية في حماية البيانات أثناء عملية الإرسال. يجب أن‎ Ahad 
الحاسوب المرسل والمستقبل. يقوم الحاسوبُ‎ Ge تطبيقات التعمية على كل‎ 
المرسل أثناء عملية إرسال البيانات بتعمية البيانات قبل الإرسال. فور استلام‎ 
البيانات المعماة يقوم الحاسوبٌ المستقبل بفك التعمية عن البيانات. إن‎ 
ON خوارزميات التعمية المباعة من قبل العديد من الشركات هى أساس‎ 
البيانات أكثر‎ ET التعمية. وكلما كانت الخوارزمية معقدة» كانت عملية‎ 
أداء الحاسوب وسرعة عمله يتراجعان مع الازدياد في التعقيد‎ SF إلا‎ bl 
ضد اكتشاف الرسائل خارج موقع‎ UGS الخوارزمي. إن تقنيات التعمية‎ 
الحماية.‎ 
وسائل قطع اتصال الشبكة‎ 

إن Gly‏ قطع اتصال الشبكة هي SUT‏ تقوم VE‏ عند الضرورة بقطع 
الاتصالات السلكية واللاسلكية بين موقع الحماية والمحيط الخارجي» فعند 
حدوث اختراق ماء أو هجمة الحرمان من الخدمة» Abd‏ قنوات الاتصالات 
السلكية واللاسلكية فوراً بدون التسبب بضرر خطير لأنظمة الشبكة داخل 
الموقع. تقوم وسائل قطع اتصال الشبكة بالعمل نفسه الذي تقوم به الإزالة 
المادية لمقبس الاتصالات السلكية واللاسلكية أو مزود الكهرباء الذي يفصل 
الكهرباء عن جهاز الحاسوب بدون التسبب بضرر خطير أو فقدان للبيانات. 
تتألف وسائل قطع اتصال الشبكة Sole‏ من البرمجيات والتجهيزات في وحدة 
مفردة. ble [Ad‏ ضبط أمر قطع الاتصال يدوياً أو بوساطة إشارات الخطر من 
قبل أنظمة كشف الاختراق. عندما abd‏ اتصال موقع الحماية» لا تستطيع 
المنظمة الاتصال خارج الموقع» ولكنها تستطيع تمكين المختصين بالأمن من 
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تشخيص» وربما إصلاح › الثغرات لتحمي من التهديد قبل إعادة وصل قنوات 
الاتصاللات السلكية واللاسلكية. 


استنتاجات 

إن حماية المعلومات الخاصّة بالزبون هو عمل معقدٌ ومليء بالتحدي. على 
أية حال يجب أن تقوم المنظمات بتأمين السّرية لزبائنها إذا ما أرادت أن تحيا 
فى السواق الالكدروئية العالسة» لسن :على المتظنات نطلا Ges) Gee‏ امن 
المغلومات فخسب». Lally‏ تحمل Ay pre LUIS‏ خرفة تجاه شركائها فى العمل 
على طول سلسلة التزويد. 

(Seah Abel) lel eV) إذا ا‎ Bl ل‎ ola ام الع‎ of 
ولكن التطبيق الفعّال لهذا الأمن سيسفر عن نجاح وجزاء طويل الأمد.‎ 

على الرغم من أن gel‏ المعلومات لعبة ديناميكيةٌ متطورةٌ باستمرار» إلا أن 
المنظمات تستطيع اتخاذ قرارات صحيحة إذا ما طبَّقّت استراتيجيات ALLS‏ 
ومفصلة لتأمين المعلومات» كي تحتفظ بمكانتها في السوق مع الحماية أيضاً 
من التهديدات. 
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wd) الفصل‎ 


استراتيجيات شاملة لإدارة المخاطر المحدقة 
بتقنية المعلومات 


كريسان هيرود 


جامعة الدفاع الوطني» OLY SI‏ المتحدة الأمريكية 


المقدمة 
يشرحٌ هذا الفصل Gall‏ وراء أهمية أن gg‏ المنظمات وتنشىء وظيفة 
إدارة مخاطر تقنية المعلومات» oly‏ تَستَخدِم أفضل الممارسات لتقييم أثر 
المخاطرء وخاصة تلك الممارسات التي تعد المعيار الشائع لقياس وتقييم أثر 
المخاطر داخل المنظمات. إن إدارة مخاطر تقنية المعلومات وظيفةٌ جديدةٌ 
هاما "قن سان WS AN‏ على تصفيق Bese‏ تقنية معلونات>ذاك (na‏ 


عالمي. 


Gees‏ إدارةً مخاطر تقنية المعلومات LBL AY‏ وأمنَ المعلومات» 
والعودة إلى الوضع السوي بعد الكارثة» by‏ المشروع. يجب أن تكون 
إدارة مخاطر تقنية المعلومات جزءاً من إستراتيجية الشركة فى إدارة المخاطر» 
كما هو الوضع مع إدارة المخاطر المالية وإدارة مخاطر لبك ونظراً إلى تزايدٍ 
eee ERE‏ نقتي S| hy, RO‏ اعم او اشر كاف SURREY‏ 
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على الإنترنت كأساس للاتصال فى تعاملاتها التجارية الالكترونية» فإن المخاطر 
المرافقة في ازدياد. لهذه الأسباب فإن اختيار سيرورة لإدارة المخاطر ثم تطبيقها 
واختيار طريقة معيارية UU‏ سوف يقلّل إلى حدٍ كبير من المخاطر المتعلقة 
Job‏ تقنيات جديدة تدعم مهمة الشركة. 

إن التعقيدات المتأصلة فى تطوير خدمات تقنية المعلومات وإدارتها 
ونشرها على المستوى العالمي واضحة. أضف إلى هذه التعقيدات SUEY‏ 
التشريعي والتنظيمي الذي Sou‏ بممارسات الشركة في العديد من الصناعات» 
ales‏ تواجه الشركاتُ وضعاً يتطلّبُ Gl Basi‏ لضمانٍ عملها بأمانِ وشرعية. 
لا يمكن Uj)‏ المخاطر من دورة حياة الشركة» Copy‏ الإخفاقات إلى خسارة 
وأضرار وادعاءات قضائية. بنفس الوقت فإن تقنية المعلومات عنصرٌ جوهريٌ في 
نجاح GT‏ شركة» إذ إن استغلال تقنيات المعلومات يخلق العديد من الفرص 
ysb‏ الشركة ولِخدمّة الزبائن. 

من المهم أن Gags‏ وحدة إدارة مخاطر تقنية المعلوماتٍ إلى ضمان أن 
المخاطر المحتملة قد حددت By‏ أثرهاء وإلى تطبيق الضوابط التي تخفف 
الآثر foveal‏ للمخاطر Lut‏ تعد الشركة GUS‏ ضرورياً: 

Gass‏ هذا بوساطة ما يلى: 

© رسم سياسة . 

© إجراء تحسينات للعمليات. 

© تحديد إجراءات أو معايير. 


© تأسيس إجراءات تحكم من خلال ممارسات الإدارة. 

© إتباع الإرشادات. l‏ 

e‏ إبرام العقود. 

© الاستعانة بجماعات في المنظمة. 

© الاستعانة بجهات خارجية أو التعهيد الخارجي عند الضرورة. 
© التأمين ضد الحوادث. 
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تعريف إدارة المخاطر 

إن الخطرّ هو Soe‏ أو ظرفٌ aca‏ الحدوث» والذي إذا ما حدث 
فقد ,5 LL‏ في النشاطات المنجزة ف فى الشركة. إدارة المخاطر Lhe‏ منتظمةٌ: 
لتحديد المخاطر» وتقدير احتمال a‏ والأثر الذي قل تتركه» واتخاذ 
الإجراء الضروري لضمان الحصول على ثمرة النشاطات المنجزة. 

syle! of‏ المخاطر هن هؤاونة المشاطر cd pot las‏ ؤذلك لعمان أن 
الثمرات تزداد إلى أقصى Oly de‏ المخاطر تتناقص إلى Jol‏ الأدنى لتصل 
إلى درجة مقبولة للشركة. 
مفتاح النجاح فى إدارة المخاطر 

إن = إدارة المخاطر هو تحديد المخاطر وإداراتها بحيث تتجاوز الثمرةٌ 
المرجوّةٌ i‏ المخاطر المواجهة. هذه المهمة مستحيلة ما لم تُحَدَد المخاطر» 
فالمخاطر التي oY‏ ولا تعالج جيداً قد تسبّب ضرراً عظيماً. 


إدراك القوى المحركة للمخاطر 

كلها اح اک ا CE) SaaS ile vo‏ وی ا كفي 
Ge bua!‏ ال زيادة Lelat of‏ ف bE‏ لير $b, $5 WE‏ 
مرافقةٌ» الأمر الذي يجعل الشركة مستعدةٌ لمواجهة المخاطر التي قد (eS‏ عن 
هذا التغير. 

تيدأ ally oe ell ‘sl a n‏ الداخلية ب والخارجية 
متعددة ISE‏ وقد و ES‏ وات الشركة أو 
مجالاتها الوظيفية. 


الاستجابة للمخاطر 
«LLU dee fants‏ أو التعامل مها واحدة خن DESY OIL‏ 


1. تخفيف المخاطر: حيث IES‏ الخطوات للتقليل من احتمال نضوج 
الخطر (حدوثه). أو لتقليل الأثر أو الخسارة إذا كان لا بد من ظهور ذلك 
الخطر. 
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Sle SUB EE E مقف انكر القراد‎ ihe 
AS EY الف الاه ل تس‎ OT هيع اجا‎ Ung 

3 نقل المخاطر: حيث تُنقل الخسارة المتوقعة نتيجة لوقوع الخطر إلى 
طرف آخر. ويكون هذا الطرف عادةً الفريق الثالث (على سبيل المثال التأمين 
Le‏ الادعاء القضائى). 

4. قبول المخاطر: حيث لا IEE‏ الخطوات من أجل تخفيف» أو تجنب 
أو نقل الخطر. تختار الشركة فى هذا القرار Ls Sole‏ تبعات حدوث الحظر إذا 


كان لا بد منه. 


إطار عمل إدارة المخاطر 

من المهم أن يُبنى قرار الاستجابة للمخاطر على استخدام إطار عمل أو 
منهجية معيارية لإدارة المخاطر. كما ينبغي أن لا تتخذ القراراث حول طريقة 
إدارة المخاطر بمعزلٍ عن الآخرين» وبالتأكيد يجب أن لا تتخذ بدون الحذر 
المطلوب. يُقَدَمُ Sib)‏ عمل إدارة المخاطر العملية التي إذا ما جرى اتباعها فإنها 
ستؤدي إلى قاعدة منطقية لاتخاذ القرارات» وعندها Goad‏ الحقائق والبيانات 
وثطرَحٌ بطريقة عقلانية. 

ثمة العديد من الطرق المتّبعة لإدارة المخاطر في JS‏ من القطاع العام 
والخاص. لا توجد a‏ أفضل من GEE CSV‏ العمل» ومنها المطروح في 
هذا الفصل + يجب أن تُتَفَّحَ لتلائم محيط و/ أو ثقافة الشركة. إجمالاً هناك أشياء 
رئيسية وجوهرية تقودٌُ Sb‏ عمل إدارة المخاطر هي : 

© يجب النظر إلى المخاطر وإلى تأثيرها jr‏ شمولي - أي من منظور 
الشركة بأكملهاء فتقدير تأثير المخاطر من منظور أضيق يثير أخطاراً بحد ذاته 
باعتبار أن حاجات الشركة قد تفوق أهمية التأثير ea‏ لتقنية المعلومات. 

© إن المخاطرَ لا تكون جسيمة إلا إذا كان لها SIE‏ محددٌ فى الشركة أو 
l nata AIS sla‏ 

© يجب أن يقدم Sib!‏ العمل قاعدة تسمح بتخمين جميع أنواع المخاطرء 
ابتداءَ من حوادث الأمن الثانوية وانتهاءً بالحوادث الفاجعة. 
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© قد يكون ضرورياً أحياناً أن يجري التعاملٌ مع الأحداث قبل دراسة 
الباعث الذي سبّب ظهورها ‏ إن معاملة المخاطر بصورة شمولية لا تعنى أن 
ندع الشركة تنهار قبل تصحيح المشكلة. 
قابلية التوسع في عمليات إدارة المخاطر 
يقتضي تناول إدارة المخاطر اتباع منهج قابل للتوسع أو التعميم ليتعامل 
مع مصادر وأحجام مختلفة للمخاطر. قد يتضمن هذا Sole‏ استخدام إطار عمل 
لإدارة المخاطر وفق طرق متعددة ع bol‏ ربما من نقاط انطلاق مختلفة. 


l : التالية‎ 

@ مخاطر الشركة الرئيسية: مثل الاندماج» أو الاستحواذ» أو استحداث 
فرص ومواقع تجارة الكترونية جديدة» أو القوانين والقضايا القانونية. 

© مخاطر تقنية المعلومات الجوهرية: مثل استحداث تقنيات جديدة داعمة 
لعمليات الشركة سواء أكانت داخلية أو خارجية. 

© مخاطر المشروع : 

1. مخاطر على استمرارية الشركة قد ee‏ المشروع. 

2. مخاطر حول أرباح المشروع (المخاطر على تحقيق فوائد المشروع). 

© الحوادث والمخاطر القائمة بذاتها: وهى متأصلة فى العمل والممارسات 
التي تتضمن استخدام وتطبيق تقنية المعلومات. 

إدارة المخاطر هي مسؤولية كل شخص 

نظراً إلى أن المخاطرٌَ موجودةٌ حكماً في كل أمر تقوم الشركة به» فإن 
إدارة المخاطر ام ا e ae‏ امات الشركة قابا 
من اله أن 7 EE‏ التي تجابه أهداف الشركة لتصل» على الأقل»› 
إلى all‏ الذي Gf dye yell Slot a Ga‏ التيديدات: Aare‏ 
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ولكي تتأكد من أن إدارة المخاطر تعمل كما يجب» قم بطرح الأسئلة 
التالية : 


< هل أنت على دراية بعمليات الشركة التي تدعم العمل اليومي؟ وهل 
تعلم ما هي الفائدة المرافقة للأعمال اليومية الناجمة عن تلكم العمليات؟ 

pe >‏ تدرك oe GT‏ اضوائط تقنية colo!) ol ple‏ والعمليات» 
والممارسات» وإجراءات العمل القياسية /(SOPs)‏ المعايير) ترتبط بعملك؟ هل 
تستجيب لهذه الضوابط ؟ هل تطبق هذه الضوابط بشكل كامل داخل نطاقك؟ 

< هل تحدد المخاطر المتأصلة وتديرها فى مشاريعك وفى مخرجاتها؟ 

< هل تبحث بشكل gly‏ في المخاطر المتعلقة بعملك وتديرهاء وكذلك 
فى كيفية تأثيرها فى نطاقك أو فى نطاقات الشركة الأخرى؟ 


سرية وثائق إدارة المخاطر 
تحتوي غالبا الوثائق المتعلقة بعملية إدارة المخاطر على معلوماتٍ dap‏ 
للغاية» لذلك يتوجب حمايتها. إن هذه ae oe‏ كذلك على معلومات 
لها تأثيرات تنظيمية وقانونية محتملة في الشركة. ينبغي التفكير» في بداية كل 
مشروع وقبل صياغة أي وثائق» فيما إذا كان هذا ا حرو مشي ل د 
الآثار» فإذا كان كذلك فمن الضروري توظيف موظفين مناسبين من hee‏ 
أخرى يعنيها ذلك في المنظمة. 


الأشخاص والعمليات والتقنية والتسلسل الهرمى للضوابط 

إن إكارة blll‏ عن عملية تف Vol est)‏ وقبل. كل :ف :وقد dis‏ 
aren tak‏ اط قاين :ا كر ieee sya N gig‏ 
Gb‏ لتحقيق ذلك «ضوابط) متنوعة و ململ عرقي محدد لهذه الضوابط. 
ويحدد هذا التسلسل الهرمي للضوابط السو اجات المُنية المستخدمة لوصف 
إدارة المخاطر. يعتمد نجاح إدارة المخاطر على قدرتها في إدخال التغيرات في 
تقنيات المعلومات فى مجالات: السياسة» والعملية» والممارسات الإدارية» 
SURG SUN‏ مدن E‏ للقيام بذلك أن يسود كل أنحاء الشركة 
تفهمٌ ple‏ حول استخدام هذه المصطلحات. 
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توجد ثلاثة عناصر جوهرية تتعلق بتخفيف المخاطر (الشكل 1). إذ قد 
يظهر التغيير فى الأشخاص» أو فى العمليات أو فى التقنية : 

< الأشخاص: من الممكن تغيير الأشخاص» أو بدقة أكبر تغيير أفعالهم» 
من أجل تخفيف المخاطر. وكمثالٍ على ذلك phil‏ باعتماد ممارسات حيال 
رخفي ال جات ت تنص اللات الواجن اليد ها عقن را 
البرمجيات وتوزيعها. من المهم أن يكون الموظفون على دراية بالإجراءات 
المناسبة المتعلقة بشراء البرمجيات» كما ينبغى أن يعلموا أن تحميل البرمجيات 
من الإنترنت هو thal‏ غير مسموح به. 





الأتتخاص 





الشكل (1). 


< العمليات : قد تُغيِّرُ العمليات لتخفيف المخاطر. سيكون المثال على 
ذلك إدخال عمليات إدارة النفاذ (والبرمجيات المرافقة) لتقليل المخاطر التى 
تنتج من عدم إدارة هذا النفاذ» مثل إيقاف النفاذ إلى معلومات الشركة من قبل 
الموظف فور تركه العمل. 

< التقنية : من الممكن إدخال التقنية أو تعديلها لضمان تخفيف المخاطر. 
والمثال على ذلك هو أدوات برمجيات المراقبة والتفتيش على الأنظمة 
والتطبيقات الحساسة لمنع النفاذ المحظور. 
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التسلسل الهرمى للضوابط 
توصفٌ الضوابط fale‏ على أنها وثائق Sd‏ التغيير» وتنعكسُ في كثير من 
الأحيانٍ في وثائق السياسية» ويشار إليها كذلك بالتسلسل الهرمي للضوابط. إن 
امتلاك نموذج للضوابط يشكل إطار عملٍ من أجل تخفيف المخاطرء وذلك من 
خلال تحديد الأفعال أو المخرجات التى من شأنهاء إذا ما نفذت» أن تقلل من 
المخاطر. يقوم الشكل (2) بشرح مثالٍ للتسلسل الهرمي للضوابط. 


ص عملية تقديم الخدمة 


الممارسات الإدارية 











=) Je 


الإجرائية والتقنية الإجرائية والتقنية الإجرائية والتقنية 


| المبادئ التوجيهية ( الارشادات ) 


الشكل )2( 














المصطلحات الفنية الشائعة 
تصف المصطلحات الفنية التالية الضوابط المختلفة المستخدمة لتخفيف 
المخاطر: 
< السياسة: تدير السياساثُ ممارسات العمل الموثوقة والآمنة لضمان 
S ci ela at‏ الجا N‏ الهم OS‏ وي SAA‏ 
بمثابة die‏ بين رب العمل والموظفين كما أنها ملزمة. 


90 















































< العملية: إن العملية هي «الأمرُ الذي نقومٌُ به وتشرح بوضوح الخدمة 
والمُخرَّجَ المستهدف. ومن الممكن وصف العملية في مستوياتٍ عديدة. 

< المعيار الإجرائي: يشرح بالتفصيل كيف يجب أن يؤدى العمل. قد 
توضع هذه المعايير الإجرائية من قبل إدارة تقنية المعلومات لاستخدامها 
الخاص» أو قد تُفرض على مستوى المؤسسة ككل. 

< المعيار التقني: يحدد الأدواتِ أو القواعد الموضوعة كي تستخدم في 
تنفيذ العملية أو الإجراء. من الممكن أن يكون مضدر المعيار داخلياً أو 
خارجياً. سيتم اعتبار الحلول التقنية على أنها معايير تقنية في التسلسل الهرمي 
للضوابط. 

< الإرشاد: يقوم بوصف الممارسات المثلى لإنجاز العملية. إن هذه 
الممارسات ليست إلزامية على GE‏ إجراءات العمل القياسية (SOP)‏ أو المعيار 
التقنى. 

< عملية إدارة المخاطر: 

"ا تقييم أثر المخاطر: تحديد ا لمخاطر التى حدثت نتيجة للتغير فى 
الشركة وتعيين أثرهاء وتقرير ما إذا كان الأمر يقتضى اتخاذ الخطوات 
لودارتها. 

5 تخفية ال ٠.‏ اطر: 35 وتنفيز الضوابط الضرورية 3 is‏ > أثر 
المخاطر المحتمل إلى مستوى مقبول. 


نموذج إدارة المخاطر 
لكي يُقَيّمَ أثرُ المخاطر ey‏ يجب استخدام طريقة معيارية. كما ذُكِرَ 
سابقاً في هذا الفصل» لا توجد طريقة لإدارة المخاطر أفضل من الأخرى. إن 
الطريقة المشار إليها في ما يلي هي مجموعة من أفضل الممارسات من نماذج 
حكومية وصناعية» وأكثر ما يستحق الذكر منها هو «المعهد الوطني للمعايير» 
الأمريكي NIS‏ وجمعية ضبط الرقابة على التقنية وأنظمة المعلومات الأمريكية 

. )17799180( ومعيار منظمة أيزو العالمية‎ «TISACA 
ليس النموذج هو مفتاح النجاح» وإنما كون النموذج مناسباً لشركتك»‎ 
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وكونك» أنت» كمدير لمخاطر تقنية المعلومات» قادراً على تحقيق المكاسب 
للشركة من امتلاك طريقة لإدارة المخاطر. إن اعتماد طريقة Dua‏ تستخدم 
من قبل جميع وحدات الشركة لتقييم أثر المخاطرء هو عماد البرنامج الناجح. 
تناقش الفقرات الآتية نموذج إدارة المخاطرء كما هو مبّين في الشكل 6B)‏ 
وتحدّدُ خطواتٍ العملية ونشرها. 


مقدمة في gal‏ المصطلحات 


المخاطر: إن الخطر هو وضعٌ أو نتيجة سيسفرٌ عنها أثرٌ سلبي. يقترن 
Gesu‏ دائماً بالنتيجة السلبية» وإلا فلا يمكن اعتباره خطراً. 











الشكل (3) . 
مصدر المخاطر : إن مصدر المخاطر هو حدثٌ أو ظرفٌ يؤدي إلى ظهور الخطرء أ تغييرٍ أثره 
المحتمل» أو تبديل احتمال ظهوره. 


التهديد: هو الإمكانية أو القدرة على التسبب بالضرر. إنه الشخص أو 
الشيء الذي سيسبب أثراً مالياً إذا ما وقع الخطر. 


eget‏ إن ال eee‏ أو CES‏ عكما كن الالال كرحن 
فيها مخاطرء Sed,‏ الثغرةٌ ضعفاً (أي: وضعٌ موجودٌ حكماء شتنا أم أبيناء 
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يحتوي على نقطة ضعفٍ تجعلنا عرضة لشيء ما). تمتلك الثغرةٌ القدرة على 
زيادة احتمال وقوع الخطر أو زيادة احتمال الخسارة أو أثر وقوع الخطر. 

cal‏ هى الشيجة E‏ ال فل Gees. jes‏ إذا ها Gases‏ اشا 
للمخاطر. إن الثمرةً تجعل عملية التعرض للمخاطر byte‏ بالاهتمام» وتكون 
الثمرة Sole‏ المكافأة الموعودة التي تُسوّغ مجابهة الخطر. قد تؤدي المخاطرة 
إلى ثمرة مضمونة وقد لا تؤدي. قد تعرّض المخاطرٌ الثمرة/ الفائدة للفقدان. 

الاستجابة للتخفيف: هى مجابهة المخاطر باتخاذ التدابير للتقليل من 
أثرها. 


إن بعضاً من المفاهيم الجوهرية المُتَصَّمنَةِ في نموذج عملية إدارة المخاطر 
جديرةٌ بالاهتمام: 
Loli ©‏ ما يتم التخلص من المخاطر كلياًء فهي LÉS‏ فقط أو jae‏ 
عليهاء ولذلك فإن نموذجَ إدارة المخاطر هو حلقة دوّارةٌ لا نهاية لها. 
بعد أن يتم تقليل الخطر يجب تفحصه دورياً. كما ينبغي أن توضع 
الضوابط تحت الاختبار على فترات منتظمة للتأكد من حسن الالتزام 
بها. 


© إن خطوَتي العملية الجوهريتين» أي تقييم أثر المخاطر وتخفيف 
المخاطرء تجمعان على التوالي المعلومات التي تدعم الخطوات 
الأساسية فى مجمل العملية. 


تحديد المخاطر 


إن الخطوة الأولى لعملية تقييم أثر المخاطر هي المراقبة المستمرةٌ 
المطلوبة لاكتشاف التغيرات فى بيئة الشركة» لا سيما القوى المحركة التى قد 
تؤدي إلى مخاطر إضافية أو تعديل تلك الموجودة فى الشركة. إن من ol jas‏ 
dtl‏ في bY aa a‏ الج ر تعره ded‏ جر اا ی 
وجهة نظر من يجب أن يحلل مشهد (سيناريو) المخاطر)ء أو من الذي سيتكبّد 
Lee‏ خسائر» ومن سيكتسب ثمرات؟ 
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من أجل الوصول إلى منظور متكامل AS EU‏ قد يكون من الأهمية 
بمكان» فيما يتعلق ببعض مشاهد المخاطرء تحليل الوضع نفسه من أكثر من 
منظور (على سبيل المثال: قد يكون لدى كل من وحدات الشركة المختلفة» أو 
المجالات الوظيفية داخل الشركة» وجهة نظر مغايرة حيال خطر ما). 


تحديد نطاق العمل 
Id‏ تحديدٌُ مجال العمل محوراً هاماً آخر لإذارة المخاطر. ينبغى عند إدارة 
القن ها be a‏ هن a‏ الوك نوما هو الس الد إن هدا 
coy‏ خصو ضا Glee te‏ كمية LSS‏ أو الفاقذة/ sett!‏ اللعين Ol pls‏ 
بشكل pile‏ بكمية وحجم مواضيع المجال. 
Lets a‏ نكال العمل chet le‏ والهدون التنطبيية giia‏ 
والوظيفية. 
من الضروري جداً تحديدٌ مجال العمل بغية تحليل مواقع الخطر الرئيسية» 
وذلك كي نتعامل مع polis‏ من المعلومات سهلة السيطرة (فقد لا يكون ممكناً 
جمع البيانات حول كامل BVI‏ لقانون تنظيمى جديد فى جلسة واحدة من 
جلسات تحديد المخاطر ‏ فقد يكون المجال واسعاً جداً وعندها يكون تقسيم 
المجال ضرورياً). oles‏ ما يتغير ممثلو الجهات ذات المصلحة مع تغير نطاق 
عمل تقييم أثر المخاطر. 
من الأقوال التى تَعَرّف نطاق العمل فى تحديد المخاطر ما يلى: 
© يتضمن هذا النطاق جميعَ أنظمة تقنية المعلومات في المؤسسة» سواءً 
كانت داخلية فى الشركة أو التى تدار خارجياً بواسطة المزودين» ولكنها 
تستبعد جهاز قيادة العمليات وأنظمة الحاسوب. 
© جميع أنظمة الحاسوب من SI‏ نوع كان» وتقنية المعلومات» وجهاز 
قيادة العمليات. f‏ 
© جميع أنظمة حواسيب تقنية المعلومات الخاضعة لقواعد خاصة» على 
سل الال ي الشركاف inal] Cl partinally WLS‏ 
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قياس الثمرة المحتملة 
تجلي Te‏ محركة خديدة أو معتدلة قمرة مقايلة قك aas‏ هذه 
الثمرة : 
1. مجموع المبيعات أو الربح المتوقع. 
2. التخفيض فى الخسارة المتوقعة. 
3 عوائد التعاون : توفير ناتج من تكاتف الجهود. 
4 تجتب تكلفة أو توفير في التشغيل. 
Clad .5‏ خسائر فقدان السمعة. 


لقا بو ف الا رسي 


من المهم الأخذ بعين الاعتبار US‏ من وصف الثمرة وقيمتها المحتملة 


قياس المخاطر 


لتقرير ما إذا كنت ستتوصّل إلى إنجاز عملية كاملة لتقييم أثر المخاطرء 
LY‏ من إلقاء نظرة شاملة على القوَّة المحركة وراءَ التغيرات الجديدة أو 
المعدلة» وتتضمن المجالات التى تتطلب البحث: 


© السبب الذي أدى إلى التغيير. 

SIs ©‏ التغيير والمنطق وراءه. 

© من الذي أحدث التغيير. 

قم بتحديد المخاطر المحتملة المحدقة بالشركة انطلاقاً من فهم التغيير في 
القوى المحركة. قد تكون هذه المخاطر أخطاراً سابقةً قد تمت دراستها من 
قبل أ de‏ تكو Tbs‏ ج لحن شاط الشركة ف كل من اعمال 
النجايية للشركة 3> وتقية Aegan sl‏ كلا عن ie‏ 
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التي جرت معالجتها ووضعت لها ضوابط من خلال جهود سابقة» والمخاطر 
الجديدة التي لم يتم تفحصها رسمياً في الماضي. 


فيما Glan‏ بكل خطر جرى تحدیده» Sse‏ يروصت الحطر 

E eE‏ تم تحليله سابقاً» فقم بتلخيص نتائج 
الآأثر فى أعمال الشركة 
تتضمن الخطوةٌ الرئيسية التالية تحديدَ أثر المخاطر في الشركة. تشتمل هذه 
الخطوةٌ على ا eee bee‏ بعري ی إن Gag!‏ هو 
تقديرُ الأرجحية والأثر المحتمل لهذه المخاطر من أجل اتخاذ قرارات واعية 
حول الخطوات المناسبة التالية. 
تحليل المخاطر 

يجب أن JL‏ كل المخاطر Gad,‏ إلى old‏ حسب تأثيرها في أنشطة 
الشركة» إن القائمة البسيطة لذلك هى : 

© أمان تطوير المنتج. 

© جودة المنتج وتوفره. 

© نظم تقنية المعلومات. 

© إدارة المعلومات. 

© الحفاظ على «Spell‏ والموارد والمعلومات الأساسية 

© ممارسات التسويق والمبيعات. 

© نزاهة المدراء والموظفين. 

© عدم التمييز في التوظيف. 

© معاشات التقاعد. 


© الضوابط المالية. 
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© قانون التنافس. 

© الإدارة البيئية. 

© سلامة الموظف وصحته. 

© المقاضاة. 

قس المستوى الحالي للمخاطر . 

نبيّن فيما يلي طريقة نموذجية لقياس المخاطر. إن معيار القياس هذا يرتكز 
على اعتبارين اثنين هما: 

1. القيمة المتوقعة أو الأثر المالي» ونرمز له ب (الأثر المالي 5)» إذا ما 
وقعت المخاطر يجب تفحص ذلك دائما من وجهة النظر التجارية» وليس من 
منظور التقنية. 

2. إحتمال أو أرجحية وقوع الخطر ونرمز لها ب (D‏ 

وتكون صيغة أو معادلة أو قانون حساب المخاطر هي : 

قيمة الخطر(5) = الاحتمال )( x‏ الأثر المالي )$( 


يتطلب قياس المخاطر معرفة القيمة المتوقعة WEY‏ فى أعمال الشركة 
إذا ما وقع الحدث. يجب أن تَحسّبّ وحدات الشركة المتأثرة هذا SYI‏ 
المالى. 

تحاف لقي المفيزلة leat‏ العاف كا “كك مك الا ب اله 
بطريقة لقياس مدى جودة إدارة المخاطر أو تخفيفها عندما نقوم بإدارة المخاطر 
وفق إطار العمل. 
صيغة أو معادلة أو قانون حساب الثمرة (ما هو مستوى الخطر المقبول الذي 
تستطيع الشركة الموافقة عليه مقابل ما تجنيه من الثمرة المرافقة). هذا هو 
مستوى المستهدف. إذا كان مستوى الخطر الحالى يعادل هذا المستهدف› 
عندئذ لن يكون التخفيف مطلوباً وستقبل الشركة هذا الخطر. 
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تقييم أثر وجود الثغرات 

Sion‏ هذا التقييمُ جميعَ المقومات التي قد تساهم في وقوع الخطر المحتمل. 
يشار إلى هذه المقومات ب الثغرات والتهديدات. في معظم الحالات» سيكون 
هناك العديد من الثغرات والتهديدات لكل المخاطر المحتملة على الشركة. 

لا تتهنمك sf nee‏ المناقشة التي تدوز تول تجازيت التهديدات 
والثغرات» فهذا لا يهم طالما أن شركتك تمتلك فهماً عاماً لهذين المصطلحين» 
إن المناقشات المبالغ فيها حول المصطلحات تعرقل العمليات. 

حدد أبعاد الثغرات 

|e ore‏ ان الذين يعملون في تقنية المعلومات إلى إطلاتي الأحكام من 
منظور التقنية. إن التقنية Sole‏ ليست بحد ذاتها محل الخلاف» وإنما الخلاف على 
نحو Gal‏ هو في كيف تدار التقنية» أو كبك Sas‏ العوامل البشرية في استخدام 
التقنية. تقتضي عملية التقدير» لفهم ثغرة من ثغراتٍ وحدة ماء تحديد الأمر الذي 
يضع هذه الوحدة في خطر. 

إن الأشخاص» والتقنية» والعمليات» والبائعين» والقوانين» وشركاء 
الشركة» وأنظمة البنية التحتية» والمنشآت. والبيئة» والاعتبارات المالية 
والاجتماعية والتنظيمية قد ثرى جميعها على أنها ثغرات. ولكن النقطة الأساسية 
هنا عن اكتشياف التهد يداك الأعدو Vue‏ الى "تعلق ترات الشركة تخديداً. 
qed‏ الثغراتُ وتُحدّد بالاعتماد على التجارب السابقة» وطبيعة الشركة» 
والتنافس» والمكان» ومدى اعتماد الشركة على التقنية» والاعتبارات السياسية 
والجغرافية» وإلى آخر ذلك. 

تقييم أثر la Le‏ التخفيف 

إن الخطوةً التالية هي Ge‏ فاعلية استراتيجياتِ التخفيف المعتمدة حالياً 
وإدخال استراتيجيات تخفيف إضافية بهدف إدارة المخاطر بشكل SLE‏ تتضمن 
faye geld Shag oY! Aut Lat vail‏ حكبا في fell‏ الوس السرا 
وقد يكون هناك استراتيجيات تخفيف إضافية ناتجة من نقل المخاطر من 
جهاتٍ أخرى. 
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إجمالاًء ستوجد ثغرات وتهديدات متنوعة في دوائر مختلفة من الشركة 
وتساهم جميعها في إيجادٍ المخاطر التي يجري تقييمها. قد تتولى عدة دوائر 
في الشركة » عندما cH‏ الفرصة » عملية تقدير ا pave‏ حالیاء فعلى 
سبيل المثال: إن Gass‏ المخاطر المتعلقة بالتحكم بالنفاذٍ إلى المعلومات 
هو في الحقيقة مسؤولية مشتركةٌ بين تقنية المعلومات» ومدراء الشركة 
وقسم الموارد البشرية. لا يمكن إبعاد الخطر وتخفيفه ببساطة من خلال طرح 
برمجيات حاسوبية جديدة فقط. إذ من الضروري وجود عملية متفق عليها من 
قبل جميع الأطراف مطورة ومتبعة من أجل ضمان أن إمكانية النفاذ إلى 
المعلومات قد تم قطعهاء على سبيل المثال: عندما يقوم الموظف بمغادرة 
الشركة. 

حدّد أصناف التخفيف 

حدّد العمليات التي تُستخدم حالياً لتخفيف الثغرة أو التهديد. تشير أصناف 
التخفيف إلى أنواع الضوابط. إن الضوابط الأكثر شيوعاً هي : 

© السياسة. 

© العملية. 

© ممارسة الإدارة. 

© الإرشاد. 

© إجراءات التشغيل المعيارية أو القياسية (SOPs)‏ . 

© المعيار التقنى. 

© العقد. 

© اة الج 

EN e 

© القوانين أو القواعد. 


0 أدوات بر مجية. 
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من المهم أن تتفقّدَ عملية تقييم أثر الضوابط الحالية أربعَ مناطق جوهرية 
ا 

< هل توجد ضوابط جاهزة من أجل هذه الثغرات أو هذا التهديدات؟ 
(أي :هل الضوابط موجودة؟) 

< هل تطبّق هذه الضوابط كما يجب؟ esl)‏ هل تطبق في كل مكان 
تكون فيه ضرورية؟ هل تطبق (Sole‏ 

< هل الضوابط فعّالة فى إدارة الثغرات أو التهديدات؟ هل كانت الضوابط 
للمخاطر المحتملة (أي» هل وقعت سابقاً المخاطر) في الماضي؟ 

< هل توجد إجراءات وقائية أو ضوابط جاهزة لتخفيف هذه الثغرات أو 
التهديدات؟ هل كانت هذه Ud‏ فى الماضى؟ 

قم بصياغة توصيات حول ما يمكن فعله أيضاً لتخفيف الثغرات 
والتهديدات» وذلك تبعاً لنجاعة الضوابط الموجودة» وفى ضوء الفحص 
المفصّل للثغرات والتهديدات؛ فقد تكون هناك ضرورةٌ إلى ضوابط إضافية» 
وعمليات جديدة و/أو تقنية جديدة. من الواضح أن التوصيات ASS‏ 
التي ستدرج في خطة تخفيف المخاطر» يجب أن تشتمل على تلك 
الخيارات التي تعطي الربحَ الأمثل و«القيمة المضافة» الأعلى والعائد الأكبر 
على الاستثمار وعلى الموارد المطلوبة» أي Coll‏ تعود بالفائدة الأكبر على 
الشركة. 

بعد وضع التوصيات» المتعلقة بجميع المخاطرء GES‏ من أنها: 

- مترابطة وتعالج جميع المخاطر. 

- ستكون مقبولة من هؤلاء الذين سيتعاملون معها يومياً في جميع دوائر 
الشركة. 

- لا تتناقض مع الضوابط الموجودة ولا تسبب آثاراً سلبية خارج نطاقها. 

- تأخذ بالاعتبار التكاليف المتوقعة» والخطر المحتملء» والثمرة المرتقبة. 
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قلس الالتزام 
وطور أدواته وطرائقه وعملياته 

إن قياس الالتزام Fel‏ مهمٌ لنجاح كامل عملية إدارة المخاطر. ote‏ ما 
إذا كان لطرائق إدارة المخاطر حقاً أثرٌ إيجابي» وكن قادراً على قياس المدى 
الذي تستخدم ee Bigs ee oe‏ من الواضح أن قياس الالتزام 
بالتطبيق أمرٌ شاق» إلا أن ما يساعد في نجاح هذا التطبيق هو سهولة العملية 
وإدراك فوائدهاء وليس لها أثر سلبي. يتم عادة إدخال المدققين للمشاركة في 
هذه المرحلة من العملية» فالمفتاح الأساسي هنا هو ضمان أن المدققين هم 
مع العملية» oly‏ نتائجهم لن تستخدم ضد الدوائر أو الوحدات التي يجري 
تدقيقها. 

يجب أن لا يُنظرَ إلى مراقبة الالتزام بالتطبيق على أنها وجه العقوبة في 
إدارة المخاطرء وهذا هو السبب وراء أهمية إيجادٍ وظيفة منفصلة لإدارة 
المخاطر تكونُ شريكاً مع فريتي الشركة المدققة. خذ بعين الاعتبار ما يلي عند 
التخطيط لأدوات قياس الالتزام بالتطبيق : 

> نطاق تطبيق قياس الالتزام rl‏ ما الذي سيتم cals‏ أين ومتى ستتخذ 
القياسات» ومِنْ قبّل مَنْ؟ 

< كيفية تأدية الحصول على البيانات» على سبيل المثال: استفتاءات تقييم 
الذات» أو الأدواث المبنية على آلية ال «ويب» (web-based)‏ أو المقابلات» أو 
Gils‏ المراقبة والتدقيق» أو الإحصاءاث المستقاةً من تنفيذ العمليات الروتينية. 
Y)‏ تستخف Ca JL‏ المطلوب للحصول على البيانات) 

< كيفية Gal‏ على الإجابة أو الرد» على سبيل المثال: LAS‏ ضمان أن 
الاستفتاءات ستحظى بالإجابة» كيفية ضمان عودة البيانات كما هو مطلوب. 


> طرائق جمع الردود وتخزينها. 

> طرائق قياس الإجابة» أي تحديد كيفية استخدام البيانات لقياس مدى 
الالتزام. 

< تفخص إجراءات المتابعة الضرورية. 


101 


< قد يقتضي الأمرُ por‏ معلوماتٍ أخرى في مهمة التخطيط الأولية code‏ 
بما فى ذلك: 


# قائمة جرد لما هو تحت السيطرة حالياًء 


a‏ وعملية حل النزاع» وعملية التصعيد. 


الخلاصة 

S|‏ ذاو المشاطو ape a‏ الشركة ا ies‏ إن 
استخدامٌ ممارساتٍ إدارة مخاطر تقنية المعلومات أمرٌ مهمٌ لنجاح الشركة في 
عصر الأعمال الإلكتروني» لذلك فإن استعمال إطار عمل إدارة المخاطر لتقييم 
أثرها في تقنية المعلومات» يسمح للشركات اتخاذ قرارات منطقية حول 
المخاطرء ويساعد على تحديد مكان استخدام الموارد لتخفيف هذه المخاطر. 
الأمر الأخير والأكثر أهمية هو أن استخدام منهجية مشابهة لتلك المبينة في هذا 
الفصل GUS‏ بالنجاح bole‏ فالمفتاح هو استخدام العملية بشكل متماسك 


الوثوق بالأنظمة المعتمدة 


«هل نستطيع الوثوق بأحد؟». هو قول شائمٌ في مجتمع أمن المعلومات» 
ولكن في بعض الأحيان» يحتاج كل من الأشخاص والأنظمة أن GE‏ بعضهم 
ببعض كي يتمكنوا من إرسال المعلومات وتلقيهاء وتخزينهاء واستخدامها 
وتحديثها. تتبادل الأنظمة في العديد من الحالات Sle gles‏ هامة خلال بضع 
ثوان (مثل أسواق المال) مستخدمة مجموعة من مفاتيح التعمية أو أمارات 
التضديق التي تيت هوية كل متهب: تتاكد Sole‏ أنظمة dell‏ الالكتروني GY‏ 
الشركات من هوية بعضها بعضاً قبل الأخذ بمحتوياتها كي تضمنَ أن الرسائل 
السَّريةَ لن تُنقل إلى حاسوب مخدم غير مخوّلٍ بالاطلاع عليها. ومع استمرار 
تعاظم إرسال كميات متزايدة من رسائل البريد الالكتروني غير المرغوب فيها 
(SPAM)‏ نُوقِسَّت العديدٌ من الاقتراحات من أجل قيام الرسائل الكترونية 
ب «التعريف» عن نفسها قبل موافقة المستخدم على استقبالهاء وبذلك سيجري 
رفض الرسائل غير المستحبة (غير الموثوقة). 


كيف يصبح النظام «موثوقا»؟ يعتمد ذلك عادةً على طريقتين مستخدمتين : 
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أ - التأكد من أن البرمجياتِ Aa)‏ على النظام «جيدةٌ ومعروفةٌ» وقد 
جرى تفحصها والاطمئنان إلى DYE‏ من الفيروسات» والديدان» وأحصنة 
طروادة ونقاط Uns‏ أخرى تجعلها غير جديرة بالثقة. بالإضافة إلى ذلك 
تضاف برمجياتٌ خاصة للتصديتي أو التعمية تسمح باستجابة شرعية لتساؤلات 
الحماية من قبل الأنظمة التي تحتاج إلى مشاركة المعلومات معها. في معظم 
الحالات تُجرى اختباراتٌ دوريةٌ لبرمجيات أمن الأنظمة لضمان أنها لا تزال 
موثوقة. 

ب - eL‏ جهة مستقلة وموثوقة» مثل «إي ترست» (Etrust)‏ أو «حلول 
الشبكة) «(Network Solution)‏ بفحص النظام والتأكد بثقة وأمانة من صحة 
سياسات المنظمة وإجراءاتها المتعلقة بأمن معلومات الزبون. قد تقوم كذلك 
de pee‏ ميل + كع من GUS‏ التحصن» العا قد امن اة زات sa‏ 
الأنظمة. 

تماماً كما هي الحال ف في الوثائق الورقية» يجب على المنظمات 
dee‏ أن تقوم بحماية Sone‏ الزبون الحاسوبية إلى أقصى درجة معقولة 
أو عملية. إن الحصول بطريقة غير شرعية على المعلومات التي تخزن (reg‏ 
أسهل ak‏ من تلك المخرنة ورقياًء واستخدامها من أجل أهدافٍ متعددة 
eels Tea‏ ومن الممكن أن cee‏ بدون علم المالك» على الأقل لبعض 
الوقت. patel‏ کل هذه العوامل - إضافة إلى قوانين ن الحكومة حول خصوصية 
الزبون والاستخدام غير الشرعي لمعلوماته - في المستوى الإداري للشركة أو 
ا ت da a‏ الور 
إليها وسوء استخدامها. 

has Cubs,‏ هذه المهمة (إذا كان من الممكن تنفيذها) pd‏ خبراء برامج 
الحاسوب» ومدراء الشبكة» ومصممي الإنشاءات» ومهندسي أمن المعلومات» 
والاذارةواخرين WS‏ يحتوي القسم الثالث من هذا الكتاب على معلومات 
حول الأفكار والتقنيات المتنوعة والمتوفرة لحماية البيانات - يصف هذا القسم 
(CEES‏ أو «لماذا». 

إن أبسط سبب ل «لماذا» هو توقع سيادة الثقة بين الزبون» والمساهم» 
والمزود» والمنظمة التي يمدونها بمعلوماتهم. pecan‏ هذه الجهات 
ob‏ معلوماتها الخصوصية قد سُرْبَت بدون معرفتها أو بدون OST‏ مسبقٍ منها - أو 
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أنها سرقت - من الذي By‏ به» Ob‏ لديها Ete Bb‏ لطلب حُكم قانوني 
ومالى للتعويض عن الأضرار الحاصلة جرّاء خلل الثقة. إن حماية المعلومات 
the gov‏ على الثقة» من أجل استعمالها في التعاملات بشكل قانوني» 
تنطوي على مخاطر وفوائد. تكمنٌ المخاطرٌُ فى احتمال سرقة هذه المعلومات أو 
إساءة استخدامها بطرق غير مخطط لهاء بذلك عقوبات مالية وقانونية. أما 
Lut al‏ فتفوق fale‏ المخاطرٌ وتتمثل بالأرباح المالية من التعاملات المتزايدةء 
وفرص البيع الآكثر» وفرص البيع البيني» ومن التكلفة المنخفضة جداأ لخدمة 
معلومات حساب الزبون وإدارتها. 

يفصل )1996 (Lewicki and Bunker,‏ عام 1996م ثلاثة أشكالٍ رئيسية للثقة 
موجودة في سوق الأعمال: 

1. الثقة القائمة على الردع: توجد عندما ppb‏ الأشخاصٌ أو المنظمات بما 
قالوا إنهم سيقومون به» نظراً إلى وجود تهديدٍ بالعقوبة إذا فشل الأداء. يوجد 
هذا النوع من الثقة في المجتمعات المالية» والقانونية والطبية عندما تكون تكلفة 
GS‏ هذه الثقة غالية clas‏ تشكل التكلفة eo‏ إزاءها. 


2. الثقة القائمة على المعرفة: توجد عندما يستطيعٌ الشخصٌُ الواثق 
تصرفات الطرف الآخر والتنبؤ بها من خلال معرفة شىء ما حوله» مثل عندما 
Aad‏ انفاقية الجهوة y dees‏ لطلت الزبون Gul danas sally of‏ اجات 
تضق ما 

3 الثقة القائمة على التشابه: توجد عندما GH LF‏ بالموثوق 4 رؤى 
وجود رابطة مشتركة تُخلق بالاستناد ا dees,‏ ذلك 
مجموعة أعضاء فى حزب سياسى» أو فى بطاقة ائتمان ترعاها ibu‏ غير ربحية 
لخدمة أعضائها. 

تنهار الثقة عندما تُسرق المعلومات الخاصة بالزبون» أو تُفقد. أو 
تُخُرب» أو يُساءٌ استخدامهاء وبالطبع من فترة إلى أخرى fee‏ التقنية Lad‏ 
18a g‏ المعلوماث Sts‏ مؤقت. إلا أنه في الحالات التي يجري فيهاء بشكلٍ 
غير شرعي» : Bi‏ أو فقدانهاء أو كشفها للعامة أو gw‏ 
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كواب dele date [AV‏ تقو fale Sle!‏ الفط الآون lad Slam‏ 
يتعلق بالأسئلة حول LAS‏ وقوع هذه الحوادث» وما هي خطط منع حدوثها 


مجددا. 


إذا ما Ge Ge‏ قن bl Jaa colle ol‏ قن gh tome‏ 
الوم كني أن تجرف كفنا سانا EN eae ES SUL Sy‏ 
ean A E‏ فهر eS‏ رونا فاو Pe‏ لقف sh eee‏ 
لتجنب حدوثه مجدداً. يجب على الإدارة العليا والمدراء التنفيذيين أن 
ينهمكوا فى هذه الأنشطة ليدركوا درجة الخطر التنافسى» والإعلامى» 
ADU aa Ty Bot E wall,‏ روكت كن Sh SU‏ 

نظرا إلى Rule Shes ot‏ من اللأعمال التجارية CS OY pe GA‏ 
يختفي JLe‏ المباشر بين الشخص والآخر مما يؤدي إلى عدم معرفة من 
يقوم بشراء المنتجات أو الخدمات. توجد حالياً تقنية GES‏ ضرباتِ الشخص 
على لوحة مفاتيح الحاسوب» وتُوصّفُها مع تصرفاتٍ أخرى يؤديها الشخص 
dole‏ فتؤدي هذه التقنية بالتالى إلى أن «تبدو» الحواسيبٌُ بالاستناد إلى هذه 
المعلومات المرسلة إلى اا الأخرى على أنها أشخاص. قد يكون هذا 
ر اغالات الحا ر ا ف فاو مكل ره اة 
أو الخداع المتعئد للريون» قد تحمل الشتركات bye‏ ماليا OGL‏ ومن المختمل 
أن لا يغطى من قبل التأمين أو المدخرات المالية. 

التأكد من المعلومات الرقمية خارج المنظمة 

نتيجة لتزايد إجراء الصفقات والتعاملات الإلكترونية بين جهات لا 
تعرف بعضها بعضاً عبر الإنترنت وعبر أنظمة الاتصال المباشرء CJUS‏ 
الأشخاصٌ والشركاتٌ والمنظماث بتقديم معلوماتِ خصوصية GS‏ بهم كي 
يقوموا بتعزيز الثقة مع شركائهم التجاريين. تكون هذه المعلومات في بعض 
الحالات معقولة وعامة كالعناوين» وأرقام الهواتف» والعلاقة مع جهة ثالثة 
مكل ا 

Ain‏ الوصول إلى الشبكة أو النظام GY‏ شخص لا يرغبُ في إعطاء 
بياناتٍ أمنيةٍ لإثبات هويّته. ويعود ذلك إلى تعاظم سرقة الهوّية» والخداع 
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أو التزوير أو السرقة أثناء الاتصال المباشر. لقد جرى تطويرٌ البنية التحتية 
للمفتاح العام JAS PPK‏ لمشاركة المعلومات الخصوصية وتأكيدها بين 
طرفين لا يريدان تقاسم أسرارهماء ولكنهما بحاجة إلى إجراء تعاملات. 

تقوم منظومة ال (PKI)‏ التي يشرف عليها طرفٌ PIE‏ بتأمين التواصل 
بين المجتمعات العامة أو الخاصة التى تطالب بكفالات من أجل التحقق من 
الهوية وعدم إكان عسات يد Ete Sil)‏ الموثوق بالمفاتيح العامة 
المستخدمة لفك تعمية الرسائل والصفقات التي يُرسِلُها المستخدمٌ مستعملا 
مفعاحة الخاض. 3 منظومة (PKD‏ للمستخدمين. طريقة مستقرة OL ALG‏ 
لتوقيع الوثائق توقيعاً رقمياًء والقيام oh ate‏ ضخمة» وإجراء المعالجة الطبية 
واستخدامات أخرى» وتشابه هذه الحالة من حيث الفكرة حالة الزبون والتاجر 
اللذين يضعا ثقتهما بشركة بطاقة الائتمان لإرسال فاتورة حساب الزبون ودفع 
عبات لماج 

من المهم أن تكون فوائد تبادل التواقيع الرقمية والملفات GEM‏ رقمياً 
واضحة للمدراء التنفيذيين وكبار المدراء» فالتوفير في الوثائق الورقية» وفي 
وقت الانتظارء وفي رسوم البريد قد تبلغ ملايين الدولارات في كل سنة 
للمنظمات الضخمة» وقد تكون الوفورات هائلة للمجموعات الأصغر. Clee‏ 
Shel‏ منظومة (PKI)‏ موافقة المجتمعات القانونية والمالية لتكون ناجحة CLS‏ 
ولقد بدأ العديدُ من الشركات الضخمة مثل مصرف (سيتي بانك) باستخدام 
التواقيع الرقمية عندما يكون ذلك مسموحاً قانوناً. 

الخلاصة 

إن حوكمة أمن المعلومات موضوعٌ عميقٌ وواسمٌ Clas‏ تركيزاً مستداماً 
فلع I tele Gs, tl eo iy a EN‏ 
فالمخاطرء والمسؤولية» والنزاهة» والثقة» DEV,‏ هي فقط بعض من 
مجالات المسؤوليات التي تواجهها الإدارة العليا بشأن هذا E‏ ويتطلب 


CE)‏ وهي منظومة تعمية (تشفير) تشرف عليها جهة حيادية مثل الحكومة أو شركة معتمدة تحدد لكل 
شخص أو شركة مفتاح تعمية خاصاً وآخر عاماًء تضمن هذه المفاتيح تحقق كل جهة من هوية الجهة الأخرى 
قبل تبادل المعلومات. 
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les Js‏ كيرا ye late‏ الانترافيات» بوالاتضالاك وردود ll GLY‏ توثر 
في أغلب - أو جميع ‏ دوائر المنظمة. 


إن ما يثيرُ الاهتمام في جميع هذه المجالاتٍ هو الدرجة العالية من 
التكامل فيما بينهاء ففي أغلب الحالات» يتطلبُ المجال الواحدٌ pel‏ من 
جميع المجالات الأخرى. فالقليل منها هي جزرٌ مستقلة» ويعود ذلك إلى 
تكامل البريد الالكتروني» وأنظمة الدعم الحاسوبية التي تمتد عبر كل دوائر 
المنظمة وعبر سلاسل التزويدٍ المتكاملة مع الشركة. إن الناحية الإيجابية في كل 
هذا هي أنه قد يحدث تداعمٌ وتعاضد هائلٌ بين الأنظمة المتكاملة عندما GBS‏ 
بنجاح وتدارٌ بشكل مسؤول. 

كما يمكن Lat‏ اغتماد SL yl‏ أمن- معلومات قوية ومتدرجة فى كل 
tye‏ ا VL plans‏ )5% الصيرت خلى مت العا سات 
تدريجياً وبانتظام AS$‏ ربحاً من الاضطرار إلى دفعها لاحقاً لتسوية ادعاءات 
وإعادة تأسيس مصداقية المؤسسة بعد فقدان الأمن أو حدوث خلل فيه. 


إن قرارات الحوكمة وبناءَ هيكلية أمن المعلومات. التى بدورها تؤدي إلى 
اختيار التقنية» مواضيع سيجري WL‏ في أقسام الكتاب اللاحقة. 


إطار عمل الممارسات الأفضل 

الممارسة الأفضل (HN‏ الحساسية التكرار المشاركون نتائج النشاط 
هل الوصول إلى معلوماتِ ية | فصلياً(كل | الإدارة» أمن |ارتباط المعلومات 
معينة مقصورٌعلى ثلاثة أشهر) المعلومات المباشر بالأشخاص 
الأشخاص الذين يحتاجون تبعاً لحاجة الشركة. 
إلى معرفتها أو استخدامها؟ 
هل تمالتحقَق من ية ستة أشهر | الإدارة» أمن | خطة أمن متكاملة 
افتراضات الأمن في جميع المعلومات» المالية» | قائمةعلى dole‏ 
مستويات المنظمة؟ هل هي التسويق الشركة وتوفْرٍ 
مرتبطة بحاجة الشركة؟ الاستثمارات. 
هل تلتزمٌالنظمةٌ i,‏ ستة أشهر الإدارة» أمن |ثقة العامة والموظفين 
بالممارسات الأفضل في المعلومات» المالية» | بالمنظمة تؤدي إلى 
المسؤولية» والنزاهة» قسم الموارد البشرية | عائداتٍ أعلى» وحصة 
والثقة» والأخلاق؟ والتدريب أكبر من السوق. 
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تابع 

هل تمتلك المنظمة سياسات 
منطقية نافذة توازنٌ بين 
مراقبةالموظقفين 
وخصوصيتهم؟ هل هي 
مكتوبة؟ 

هل هناك خطط جاهزة 
لنقل الأخبارالجيدة 
والسيئةإلىالزبائن 
والمساهمين؟ 

هل هناك إجراءات وقائية 
LL bbs UL‏ 
وات ا ن 
والمساهمين؟ 


هل تم تأكيد افتراضات 
المخاطر من أجل المنظمة؟ 
هل مازالت دقيقة؟ 

هل أدواث الالتزام 
بضوابط التعامل مع 
المخاطر جاهزة وهل يجري 


استخدامها؟ 





عالية 





فصلياً (كل 
ثلاثة أشهر) 


فصلياً (كل 
ثلاثة أشهر) 
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الإدارة» أمن 


المعلومات 


الإدارة» المالية 


الإدارة» المبيعات 2 
التسويق 


الإدارة» أمن 
المعلومات» المالية 


الإدارة» أمن 
المعلومات» المالية 





تقليل الالتباس بين ما 


الثقة 2 قدرة الإدارة 
على تحقيق الأهداف 


الزبائن حول تسريباتٍ 
خاطئة للمعلومات 
ا مخصوصية. 

CL ye‏ شاط 
الدقيق وتخطيط LG JI‏ 
عمليات موثوقة» قابلة 
للتنبؤهالتحديد 
وتقليل المخاطر 

















القسم الثاني 
هيكلة منظومة أمن المعلومات 
(قضايا العمارة) 


يركز هذا القسم على بناء «عمارة» أمن المعلومات بما في ذلك القضايا 
التي تمم الإدارة العليا والمديرين التنفيذيين حول كيفيّة ترتيب الأمن» وهيكلة 
البنية التحتية» والتطبيقات» لتحقيق أقصى الفوائد الممكنة. سيناقش هذا القسم 
أيضاً ely‏ حواجز متعددة للحماية» وتحديد جهديدات الأمن الداخلية» وتخطيط 
التعامل مع الكوارث في سيناريوهات الحالة الأسوأ. 

لسوءٍ الحظء لا توجدُ خطةٌ معياريةٌ لهيكلة أمن المعلومات تُوسَعُ أو 
paul‏ کی ثلى lok‏ متظمة: شتلك كل متطية متطلياتك oe Libs‏ 
المعلومات» وقيود مالية خاصة وامكانيات تحمل مخاطر وموارد تقنية خاصّة 
بها. قد تَضَعْ شركةٌ تجارةٍ إلكترونية صغيرةٍ خطة أمن CÉS‏ مليون دولار لتسدٌ 
احعنا Lees: A‏ قد تفن و كال حكويدة Sates‏ 100 خيليؤاة دولاو وق تين 
ó‏ هناك نواقصٌ أمن هامة لا تزال بحاجة إلى العلاج. إن موازنة هذه العوامل 
مع توقعات المساهم والزبون هو أمر صعب» كما أن جميع هذه العوامل تتغير 
We cigs‏ كل يوم وذلك بسيب: ظهور التهديدات الجديدة. gy‏ على الرغم 
من ذلك هناك بعض الأمور المشتركة بين أغلب منظمات تقنية المعلومات 
تسمح بالاستفادة من أطر عمل «الممارسات الأفضل». 

aes‏ هياكل أمن المعلومات غالباً تحسباً لتهديدٍ معروفٍ أو وضع 


متوقع. في معظم الحالات» يكون التفكير الإيجابي الفاعل في طيفٍ واسع 
من S‏ والمخاطر المحتملة أربحَ من إعداد وتطبيق الحلول المفردة 
التي لا تتعامل بشكل مباشر مع الفرص أو الآثار المرافقة. يأتي الربح الذي 
رق التكاليف هن الاستفادة مد LS‏ متجموعة من lel el‏ أمن State‏ 
مثل: جدران النارء wos‏ مواءمة نظام التشغيل ZG laced (OS)‏ 
والتفتيش الآلي» والنفاذ الّقائم على الوظيفة» وإدارة موافقات نفاذ متعددة 
المستويات» والبرمجيات الآلية للحماية من الفيروس... الخ» التي قد 
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تتعاضد مع بعضها بعضاً لإبعاد انتهاكات أمن المعليمات gts:‏ قد کون 
طريقة الحلول المفردة» أي كل مشكلة على حدة» أرخص في البداية» 
ولكنها أغلى بكثير إذا ما اقتضى eV‏ معالجة مجموعة من المشاكل المختلفة 
bled‏ المفردة للتعامل مع أنواع شتّى من الاعتداءات» علماً Ob‏ هذه الحال 
قد أصبحت هي القاعدة. 

تشير اعتداءات الديدان والفيروس على نظام مايكروسوفت (Exchange)‏ 
خلال السنوات الأربعة الماضية أن امتلاك مقدرة نشيطة وفعالة ومُتكيّفة 
للاستجابة لمتطلبات الحماية كانت Gest‏ من تطبيق طريقة Gls‏ كل مسألة على 
حدة أو استخدام برمجياتٍ مملوكة أو مطورة من قبل المؤسسة. إذ إن 
المنظمات التى تعتمد تقنيات أو عمليات أمن «لكل نقطة على حدة» تضطر إلى 
القيام باستمراز بإعادة التتخطيط لعطلياتها وظاقمها pill‏ لمواجهة الاغتداءات 
والتهديدات غير المعروفة سابقا التي لم تستطع هذه الطريقة منعها. 

إن الخطوة الأولى في بناء عملية دفاع قوية هي تحديدٌ التهديداتِ 
المحتملة» ومصادرهاء وأثرها الإجمالي في المنظمة - وهي فقرات سنأتي على 
شرحها في نموذج مصفوفة التهديد. 
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الفصل الاس 
النواحي الهيكلية (قضايا العمارة) 


لورنس م. أوليفا 


المقدمة 


يزكر ie‏ الفضصل على T ely‏ المعلومات" gf‏ كلها fee‏ :اا 
التى تقتضى التفكير» وطريقة تناسق إجراءات الأمن» وهندسات البنية التحتية» 
واا الفائدة القصوى» وإنشاء حواجز متعددة للحماية» وتحديد 
تهديدات الأمن الداخلية» والتخطيط للعودة إلى الوضع السوي بعد كارثة في 
سيناريوهات الحالة الأسوأ. 

لكل منظمة خصوصيتها في أمن معلوماتها ومواردها المالية وتحمّلها 
للمخاطر. إن الموازنة بين جميع هذه العوامل مع توقعات الزبون والمساهم Jal‏ 
صعبٌء كما أن جميعَ هذه العوامل تتغير بشكل متكرر. ولكن على الرغم من 
ذلك» ثمة بعض الأمورٌ المشتركة بين أغلب منظمات تقنية المعلومات تسمحٌ 
بالاستفادة من أطر عمل «الممارسات الأفضل». 

تُخلق غالباً هيكلية أمن المعلومات تحسباً لتهديدٍ معروفٍ أو وضع متوقع. 
إذ إن التفكيرٌ والنشاطً الفعّال قبل وقوع الحدث هما غالباً أكثرُ Gay‏ مقارنة 
بتكاليف الحلول المفردة التي لا تتعامل بشكل مباشر مع كل الفرص أو الآثار 
المرافقة. 
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إنشاء مصفوفة التهديد 


يجب على كلّ منظمة أن تقوم بإنشاء مصفوفة التهديد كطريقة لتحديد 
مخاطر أمن المعلومات» والاستعداد لهاء وإدارتها. قد تكون هذه المصفوفة 
بسيطة أو معقدة» ولكن مجرد امتلاكها كأداة واستخدامها سيساعد بشكلٍ pe‏ 
عند حدوث مشكلة خطيرة. يبيّن الجدول التالي نموذجاً معيارياً لهذه المصفوفة : 














مصدر التهديد وقت الاستجابة مقدار أو قيمة الأثر 
ار قرصان فوري عال 
داخلي نوفلت فور عال 
غير معروف إرهابي فوري عال 
احتيال أو تزوير مالي زبون فوري منخفض إلى عال 
حرمان من النفاذ إلى متعدد فوري عال 
المعلومات 
تخريب متعدد يعتمد على النوع منخفض إلى عال 


ثمة حاجة إلى مشاركة الإدارة العليا فى هذه المناقشات والقرارات لتساعد 
على العو اولظ قن a‏ ارا ales et‏ ا E‏ رت هالا نا 
يتخذ هذا القرار من قبل الطاقم التقني الذي قد لا يكون ملماً بالمنظور الشامل 
للعنظمة» dehy‏ غالبا ole Bs‏ التكلفة من فقتل المجبوعة الى See‏ 
Ll‏ هذه السات AA‏ دوعي قد تيرك jell‏ أو GPM clue ll‏ في 
المؤسسة مكشوفة للعودة الأبطأ إلى الوضع السويّ بعد الكارثة» أو في بعض 
الحالات» تتركها مكشوفة ST‏ مما سبق نتيجة إلغاء إجراءات الأمن التي كانوا 
يعتقدون أنها موجودة. 

يجب أن eb‏ الخطهٌ بعين الاعتبار الحاجاتٍ الخاصة لتقنية معلومات 
المنظمة» ولمساهميهاء وزبائنها ومزوديها. فعلى سبيل المثال سوف تعتمد 
المشفى خطة مختلفة تماما عن الجريدة» كما ستكون للمصنع الكيميائي خطة 
تشلف عن تلك de Sod dager yell‏ العدينة: 

كلما تمكنت مصفوفة التهديد من تحديد أكبر عددٍ ممكن من الثغرات 
كانت أفضل» Wy‏ كي يمكن التعامل مع هذه الثغرات والتقليل من مخاطرها. 
كما أن الإجراءات المضادة للتهديد» التي تتألف من سياسة ومن عناصر تقنية 
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وعملية» هي Lal‏ جزء مهمٌ من هذه المصفوفة التي تتطلب الدعم والمشاركة 
من قبل الإدارة التنفيذية. إن تحديد درجة المخاطر من أجل تجنبها أو تخفيفها 
هو غالباً IS Hel‏ وصعبٌ. في كلتا الحالتين» التجنب أو التخفيف» قد تدفع 
المنظمة فاتورة غالية جدا مع فوائد قليلة للزبائن والمساهمين» اللهم إلا 
ا الشركة العمل aS‏ ا الغ كه bedt‏ اموا dbase‏ 
إلا أن عدم القدرة على توليد wile‏ للاستثمار قد يكون عائقاً كبيراً جداً يصعب 
التغلب cade‏ خاصة إذا ما تجاوزت التكلفة التقديرات. 


اتفاقياث مستوى الخدمة (SLAs)‏ هى Gilly Gale‏ تعاقدية Shed‏ المستويات 
اننا O‏ 1 مرضي النقوية Cee Meee eee Peres‏ من افيف 
ere‏ ومستويات الأداعء ومستويات القدرات» وبروتوكولاات أمن النفاذ» 
ومجالاتٍ أخرى تهمٌ الزبائن والمزودين ويلتزم الجميع بإتباعها. 

في معظم الحالات» يتوقع الزبائن الذين يدفعون تكلفة النفاذ والخدمات 
أن يعمل النظام 99.999 / من الزمن طوال ال 24 ساعة يومياً» وعلى مدار 
الأسبوع» إلا أن مزودي الخدمة يتمنون مستوياتٍ أداء أقل صرامة» خاصة ON‏ 
هناك إمكانية تعرضهم لعقوبات مالية عند عدم الوفاء بالآداء المتفق عليه. 

على الرغم من وجود طرق عديدة يمكن اتخاذها من أجل دعم (SLAs)‏ 
بمستويات أداء عالية» إلا أن معظم خبراء الحاسوب والأمن سيوافقون على أن 
الطريقة الأبسط والأقل تكلفة هى فى تنسيق أو مواءمة الحاسوب والشبكة 
وهيكلية الأمن ضمن بنية تحتية مشتركة. إن دمج هذه العناصر الثلاثة في بنية 
تحتية مشتركة يسمح بزيادة كبيرة في عائد الأجهزة والموظفين» كما يسمح 
بسيطرة تشغيلية أعظم على عمليات الحوسبة الخاصة بالمنظمة. 

تتضمن الحسنات الأخرى لتنسيق أو مواءمة الهيكلية التالى : 

© أجهزة وعمليات أمن معيارية. 

© نقاط نفاذ للمعلومات من خارج المؤسسة محددة ومراقبة منعاً للاقتحام 
المحظور. 
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© جهود أقل لتدريب الموظفين (بسبب استعمال أجهزة معيارية). 

35 عل تن lee gly ISLA‏ نظرا )3 أن الاک 
تحدث WE‏ 7 الأنظمة ذاتهاء oly‏ تصحيحاً لإحدى المشاكل قد يصحح 
مشاكل أخرى أحدثت من قبل ذاك الخلل. 

© تحقيق elol‏ أفضل من خلال ds‏ العناصر المختلفة مع بعضها البعض 
والذي يؤدي بدوره إلى هيكلية عامة متكاملة ليس فيها نقاط احتكاك مثل: 
برمجيات غير متوافقة من مزودين مختلفين أو شبكات مختلفة مع تشكيلات جدار 
نار واحد» أو مجموعات بيانات Clas‏ التقييس وإعادة الصياغة بشكل مستمر. 

@ اختصارٌ كبير في الوقتٍ اللازم لدمج تقنياتٍ أو تطبيقاتٍ جديدة في 
Lars‏ برمجياتٍ معيارية شريطة وجودٍ مجموعة مشتركة من البرمجيات البينية» 
ونقاط نفاذ آمنة ومراقبي أداء. 

Aad‏ الناقيات» مسو :الخد مى glare‏ الان «Abad‏ واي ها 
ضرورية الوجودء باعتبارها تحدد مستوى elal‏ مفروض. إلا أن تكلفة مدة 
تشغيل «التسعات الخمس» )99.999( قد تتجاوز الميزانية المرصودةً من المنظمة. 
من جهة أخرىء fale‏ ما يستهان بتكلفة إدارة اتفاقية مستوى الخدمة (SLA)‏ 
خلال المفاوضات التعاقدية مع الزبون» رغم أنها تشمل lid‏ مثل: اجتماعات 
إدارية متكررة لمناقشة القضاياء وقياس مستمر لمؤشرات النظام وجمعهاء 
وارتفاع الغرامات المالية غير الصحيحة» والمناقشات حول من الذي أو ما الذي 
سبب حدوث المشكلات. فى حالة المنظمات الضخمة وباعتماد مستوى أداء 
زمني في (SLA) wil‏ السات الخمس»» تقدر التكاليف WE‏ ب 250,000 
دولار سنوياء بما في ذلك تكلفة الوقت الإداري التنفيذي. 

تتضمن طرق تخفيض هذه التكلفة ما يلي: 

© إنقاص اتفاقية مستوى الخدمة (SLA)‏ إلى مستوى أداء 99.99 / أو 99.9/ - 
أو 99.9/ - إذ إن الانتقال من مستوى مدة تشغيل 99.99 / إلى مستوى مدة تشغيل 
تشغيل 99.9 / يؤدي إلى فرق 7.7 ساعات إضافية كل سنة (إلى إجمالى 8.8 
ساعة) على أساس 24 ساعة على مدار الأسبوع. l‏ 

© ترتيب الخدمات حسب أهميتها في أن تحظى بعدم الانقطاع (SI)‏ 
خدماتٍ يجب أن Jiti‏ 99.999 / زمنياً» مثل جدران نار الشبكة وأنظمة 
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الأمن. وأي لخدمات يمكن أن تتوقف عن العمل لمدة ثماني إلى عشر ساعات 
tes 8‏ اللفياة مكل كراسي hess!‏ والفاة إلى التجاسرب ال كر 

© كتابة (SLAs)‏ «مرنة» أو قابلة للتعديل حسب حاجات الشركة أو 
المنظمة. على سبيل المثال: cles‏ شركات بيع التجزئة Sole‏ إلى مدة تشغيل 
0 لمعالجة البيانات أثناء فصل عيد الميلاد» ولكنها قد تقبل مدة تشغيل 
9 بقية السنة وتدفع بذلك WS‏ عقود (SLA)‏ أقل» وكما يأتي: 





النسبة المئوية لمدة جاهزية النظام ساعات كل سنة 
(24x7)‏ 100 8760.0 
99,999 8759.9 
99.99 8759.1 
99.9 8751.2 
99.0 8672.4 








إنشاء حواجز حاية متعددة الطبقات 

تي أنظمة: ob del of‏ الا كر WLS‏ فن لفاك ble‏ مدد UBY‏ 
حاجز poime‏ ضد أنواع عديدة ومختلفة من الاعتداءات» وهذه البنى بانتشار 
متزايد. في حالة المنظمات الضخمة التي ترتبط ببوابات متعددة مع الشبكة 
العامة» وبنقاط نفاذ لاتصال الموظف» وبشبكات دعم سلسلة التزويد» يتطلتٌ 
القيامُ بتطوير حواجز أمنية متعدد المستويات عادة عدة ملايين من الدولارات 
للهندسة» والشراء» والتوظيف» والاستثمار التشغيلى. 

: الطرق التقنية النموذجية لإنشاء نظام أمن متعدد المستويات‎ Jas 

© «مستوى أساس»: هو حد أدنى من المعلوماتية يقدمها المستخدم لأجل 
النفاذ (كأنْ تكون كلمة سر مشتركة غير معروفة علانية). 

© طبقة ثانية: تحدد الحاسوب المستعمل للنفاذ إلى الشبكة فتسمح له أو 
تمنعه من النفاذ (من خلال الملف النصى (cookie‏ أو أمارة الهوية). 

© طبقة ثالثة: تُقصِرٌ النفاذ على المستخدمين «المعروفين» فقط (أي 
بدون مشاركة مع أشخاص آخرين). 
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© طبقة رابعة: تمنع إلى حد أبعد وصول الحاسوب أو المستخدم إذا لم 
يعط إجابات صحيحة عن «سؤال التحدي» الذي يملكه ذاك الحاسوب أو 
المستخدم فقط. يستطيع الحاسوب تزويد المفتاح المُعمَى الذي أرسل له آخر 
مرة pall‏ فيها بالشبكة وسيّسأل المستخدم عن كلمة مروره الأخيرة. 

© طبقة خامسة: يُتطلب من المستخدم توفير مميزاً بيولوجياً قابلآً للتحري مثل 
بصمة إصبعه» أو بصمة صوته» أو سمة وجهه» أو فحص شبكة عينه أو إمضائه 
(توقيعه). إن واحداً ‏ أو مجموعة مؤلفة من اثنين ‏ من هذه العوامل ستشكل مستوى 
عالياً جداً من الثقة ob‏ الشخص الذي يريد النفاذ هو حقاً الشخص الصحيح. 

من وجهة نظر الإدارة العلياء إن جميع هذه الإجراءات الوقائية تكلف 
الكثير من المال مع القليل من الفائدة الواضحة أو العائد الملموس إلى المنظمة. 
إلا أن تكلفة عدم حماية أصول المعلومات والأنظمة والشبكات من الاعتداء 
الخبيث قد تكون هائلةً وفقاً للإحصاءات التى أجريت من قبل منظمات مختلفة 
حكومية وخاصة (فى صيف 2003. عانت الشركات الخاصة HLS‏ تزيد على 
5 بليون دولار للتعافى من الديدان والفيروسات )2003 -(ICERT,‏ وحتى لو 
قَدَّرنا أن هذه الإحصاءات عالية وخفضنا خمسها (أي: 20 ./) فمن الواضح أن 
التكاليف المالية المتراكمة تبقى ضخمة جداً. 


ca Gr es fal‏ هذه المعلومات في بناء حواجز متعددة الستويات؟ 
يجب أن jae‏ کل منظمة قيمة أصول معلوماتها Sita ess RAP‏ 
(LEY‏ المحتول Ue of ube jel ge‏ الات ال فك ركون 
عة الاستثمان. متشقيية (Wie‏ رتعقمد على مودي و Gel ts pes‏ 
لتقديم مرشحات الشبكة لمنع الديدان والفيروسات» مع مستوى أو اثنين للتحقق 
من هوية المستخدم. 

فيما يتعلق بالمنظمة المتوسطة إلى الضخمة التى تمتلك مئات أو آلاف 
الحواسيب والمستخدمين» فإن حساب عدد وأنواع الخواجد والأنظمة الاحتياطية 
التي يجب شراؤهاء قد يتطلبُ ile‏ أشهر وفريقاً من الخبراء المكرسين للأمن 
ORA‏ بعناية سياسات المستخدم ey‏ الموجودة. حالما يتم تحديد 
التكاليف» تستطيع الإدارة العليا tally‏ التنفيذيون اتخاذ قرار تجاري بشأن 
النفقات» وجداول الأعمال» والسياسات. وتقنيات التطبيق المعقولة المتعلقة 
بأصول معلوماتهم » وبموظفيهم» وزبائنهم» ومزوديهم ومساهميهم. 
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كشف المهددات الداخلية لعمليات أمن تقنية المعلومات 


تشير جميع تقارير أمن المعلومات فعلياً إلى أن التهديد الأعظم لأصول 
المعلومات يأتي من داخل المنظمة. لقد طوّرٌَ مهندسو التجهيزات تقنياتِ تسم 
للمستخدمين وللأنظمة بنقل كميات ضخمة من المعلومات وحفظها بسرعة وسهولة 
ebay‏ فن ball‏ من الحالات6 لا deg‏ سجل (يذعى Lat‏ #سجل الأخذاتة) 
يقومٌ بتسجيل حدوث نسخ معلومات أو نقلها إلى نظام المستخدم أو أداة تخزينه 
مثل ذاكرة تخزين المعلومات (Flash)‏ أو ذاكرة القرص المدمج (CDROM)‏ . فقد 
الأساسية للمنظمة وتؤخذ خارج البناء في بضع دقائق. وإذا ما تمكن Hb ge‏ ما 
من النفاذ إلى الملفات من خلال وصله مع الشبكة العامة» فإن المعلومات قد 
Los‏ على حاسوب آخر يبعد مسافة 0 ميل من الشركة. 

كيف يمكن تحديد التهديدات الداخلية المحتملة وإحباطها بدون تطبيق طرائق 
نفاذ شديدة القسوة UG‏ من إنتاجية المستخدم وتنقص من معنويات الموظف؟ 

أولاً: اضمن وجود سياسة ies‏ لمم Lb‏ الإدارة بخصوص 
استخدام الشركة والاستخدام الشخصي للشبكات والأنظمة والمعلومات. ومن 
النقاط الجوهرية في هذا المقام أن pod‏ مشاركة كلمة سر المستخدم أو أمارات 
التحقق من الهوية بين المستخدمين. ينبغى أن تشتمل السياسة على عقوبات 
رسمية على سوء استخدام Spel‏ معلومات المنظمة وأنظمتها. 

ثانياً: اجعل جميع الموظفين يعترفون بأنهم قد تلقوا نسخة من السياسة. من 
الممكن القيام بذلك من خلال البريد الالكتروني أو أداة جمع البيانات عبر الشبكة. 

orl cial النياناث واصول السخلومات الاك‎ tele Gly Ld WE 
إجراءات مراقبة دخولٍ‎ OCHRE مهندسي أمن المعلومات والمهندسين التقنيين‎ 
البيانات وأنظمة المعلومات الهامة وما هى المدة التى استمر بها هذا الدخول»‎ 
يجب أن تتم مقارنة هذه المعلومات بلائحة المستخدمين الذين يسمح لهم‎ 
بالدخول. ويجب حذف أسماء جميع الأشخاص الآخرين من قوائم الدخول.‎ 

رابعاً: يجب أن يراقب مهندسو أمن المعلومات Gl‏ تنقلاتِ مشبوهة 
لملفات معلومات كبيرة عبر جدران النار للمنظمة» وذلك كجزءٍ من نشاطات 
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مراقبة الشبكة. عادة» BS‏ الملفات الكبيرة على وتيرة واحدة ووفقٌ J pte‏ زمني 
نموذجي معروف. تتضمن الأمثلة على أنواع الملفات هذه سجلات الحساب» 
والملفأت AILS‏ وسجلات مخزون المزودين والصور الرقمية. يستطيع 
المهندسون أن يحددوا مالكي معظم هذه الملفات بسرعة ويثبتوا شرعيتهم. 
يتخب أن a‏ بدقة چ ee‏ الملفات ae os ee a‏ 
a o (CFO) ce suited arene op teal aal‏ يوم من كل Ta‏ هو 
وضع منطقي» أما حاسوب التسويق الذي يرسل ملفاً بحجم 100 ميغا بايت 
اام T lar‏ والتواريت: اعرا إلى BB yall pele‏ لمرن غير 
واحدة في السنوات العشر الماضية قد يسترعي الانتباه والتدقيق. 

على الرغم من أن أغلب سرقات المعلومات تحدث داخلياًء إلا أن الغالبية 
العظمى من الموظفين صادقون» ويفعلون أقصى ما لديهم لحماية معلومات 
as il‏ اذاه UAE‏ رس اعا المنظية ؟ الع Bl po cee‏ 
Joly‏ فقط لأمن المعلومات» مثل الذي حصل للمؤسسة الأمريكية للرعاية 
الصحية )2003 TriWest Healthcare Alliance (Gehrke,‏ < والإساءة للمنتجات مثل 
a‏ الس EISSN ELGG‏ 
الإنترنت في شباط/ فبراير 2004 )2004 «(Musgrove,‏ ذ فمن المنطقي عندئذ أن تسعى 
الإدارة العليا والمدراء التنفيذيون إلى الإقلال من فرص حدوث السرقة» فضمان 
تمتع الأشخاص الشرعيين بالنفاذ الصحيح إلى المعلومات التي يحتاجونها للقيام 
بعملهم» والتحقق بعد ذلك من الأوضاع غير الاعتيادية ‏ التي قد تكون شرعية - 
يساعد على تقليل مخاطر حدوث السرقة غير المعروفة أو سوء الاستخدام. 


هل التخطيط للعودة إلى الوضع السّوي بعد الكارثة أمر مهم؟ 
أجل ذلك من أجل Sle i peal‏ الشركة Olt‏ اذ عدت ری غر 
T‏ شن ال ع ا da Ol Gg sully) ae)‏ على sical‏ 
peice ees‏ الزبون أو توليد العائد هي غالباً هدفٌ رسميٌ هامٌ لكل من المنظمة 
وزبائنها. EL.‏ عودة عمليات الشركة إلى المستوئ: الطبيعي .وقناً أطول» 
Cals‏ أكثر مما هو متوقع بکثير إذا لم يكن هناك خطة رسمية ijale‏ عند 
حدوث الأزمة والاضطراب. يرجع م هذا بشكل كبير إلى jae‏ أسباب مثل : الإمداد 
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والتموين» والتعامل مع المزودين والشركاء» وانتظار وصول الأجهزة والموارد 
المطلوبة من أجل المساعدة» الاعتماد على خطة عودة إلى الوضع السوي بعد 
الكارثة قائمة على افتراضات أو معلومات غير ALIS‏ أو غير واقعية. 


في معظم | الحالاات» a‏ و التعامل مع الكارثة من القدرات والأجهزة 
الموجودة» Jes‏ بالتالي من نفقة الاستثمار» !> شارك أجهزةٌ الاستعادة وأنظمثها 
مع أنظمة الإنتاج فى إنقاص الوقت اللازم لتطبيقها فى حال الطوارئ» بالإضافة 
إلى تفعيل إجراءات وسياسات الأمن المطلوبة لتعمل بشكل فعال. 


إن عمليات الأمن جزء من جهود التخطيط للعودة إلى الوضع السوي بعد 
الكازثة» فتقل سجلات Op pl‏ وسجلات الحروديق: والمعلويات الخاضة 
بالشركة» يجب أن يجري بدون خطأ لتفادي أي توقف فى عمليات الشركة أو 
ضياع الثقة خلال وقوع عدت غين LS E‏ بی ببق تحط Cantal‏ 
وأنشطتها كي تلائم الحالات المقبولة منطقياء مع تدريبات تجريبية لجميع 
المشاركين لاكتشاف نقاط الضعف التي تتطلب التحسين والاستثمار. 

SUS Glew‏ المدراء إلى المشاركة في جلسات التخطيط هذه وفي 
النشاطات التدريبية والتجريبية ليعطوا الاقتراحات» telly‏ والوضوح لجميع 
أعضاء فرق الاستعادة والأمن. إن فهم «الأبعاد العامة والكبرى» لكل من 
الاستثمار والأثر يعطي منظوراً مختلفاً عن التركيز التقني أو التشغيلي ar‏ 
وهذا يؤدي غالباً إلى تحسيناتٍ قد تُغفل إذا لم يحصل هذا الفهم. 

إن تخطيط العودة إلى الوضع السوي بعد الكارثة هو عملية غالية وبالغة 
الأهمية. إنه يفترض ظهورَ سيناريوهات صعبة جداً تتطلبُ المهارات الإدارية 
الأساسية الأربع نفسها التي sS‏ سابقاً في هذا القسم ‏ المسؤولية» والنزاهة» 
والثقة» والأخلاق - ded‏ بنجاح. 


الخلاصة 


يجب أن a T oe‏ المعلومات على تهديدات الشركة» 
الحالاات» iat‏ او سطع ا تو سيع ae‏ العامة Soars eed‏ 
التخطيط اللسوكمة المفضلة فى القسم الاب ترك ميك أبن المعلومات؛ على 
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متطلبات الشركة الواجب دعمهاء بالإضافة إلى تحديد وهندسة التكرار فى 
النظم» والمرونة التشغيلية» والبنية التحتية القوية (لاحظ الجدول أدناه). 


apes‏ مخططو الأمن le‏ «ماذا لو» إلى عالم «كيف» مع التقيد بحدود 
الميزانية» وجدول الأعمالٍ» والمقدرة التقنية» وذلك من خلال حياكتهم لثلاث 
ضفائر مع بعضها البعض وهي العملية والموارد والتقنية. قد ard Dp‏ إن تحدي 
التخطيط أمرٌ صعبٌ» خاصة إذا أخذنا بعين الاعتبار الالتباسّ في نوع التهديدات» 
والمكان الذي قد تصدر منهء والأثر الذي قد تسببه. في بعض الحالات يكون ذلك 
a oes‏ إلى Soe SBS cata‏ أجل Sle)‏ 
إثبات صحتهاء أما فى القضايا الأخرى ob‏ التخطيط التنظيمى البينى» والتفكير 
الجادء هما الطريقة الوحيدة للتغلب على التحديات بنجاح. 00 


الممارسة الأفضل (JEM)‏ 


fore a0, 
إزاء الافتراضات‎ ILL 
الراهنة وتحقق من صحتها‎ 


ae‏ من أن جميع الهندسات 


اتفاقيات مستوى الأداء 
(SLAs)‏ القائمة 

تفقّد حواجز الأمن الحالية 
لضمان أنها تقدم حماية 
معقولةإزاءالمخاطر 
المتواجدة حديثاً 
تفقدهيع العمليات 
المتعلقة بحماية موارد تقنية 
المعلومات من الضرر أو 
الاعتداء الداخلى 

خطط العودة إلى الوضع 
السوي بعد الكارثة 
موجودة وقابلة للتطبيق 





الحساسية 


عالية 


عالية 





التكرار المشاركون 


الإدارة» أمن 
المعلومات» 
عمليات (تقنية 
المعلومات)» المالية 
الإدارة» أمن 
المعلومات» 
عمليات (تقنية 
المعلومات) 
الإدارة» أمن 
المعلومات» 
عمليات (تقنية 
المعلومات) 
الإدارة» أمن 
المعلومات» 
عمليات (تقنية 
المعلومات)» المالية 





فصلياً (كل 
ثلاثة أشهر) 


ستة أشهر 
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نتائج النشاط 
وجود مصفوفة تهديد حية 
ودقيقة للتخطيط الفاعل أو 
الإيجابي لردود الأفعال إزاء 
l‏ التهديد 
الاستفادة القصوى من 
عمليات وموارد تقنية 


المعلومات 


إجراءات وتمارسات أمن 
دفاعية ضد المخاطر الحالية 


أضرار أو مخاطر مخففة من 
مصادر الاعتداء الداخلى 


خطة عودة إلى الوضع 
السوي بعد الكارثة قابلة 
لنتفيذ تقلل من الأثر في 

الموظفين» والزبائن» 

والمساهمين » والإدارة 




















القسم الثالت 


قضايا التقنية 


نظرة شاملة على القسم 
يستعرض هذا القسم he‏ تقنياتِ هامة في أمن المعلومات لكل منظمة 
تمتلك أنظمة معلومات. CaS‏ هذا القسم لإعطاء الإدارة العليا والمدراء 
التنفيذيين» الذين يتمتعون بمعرفة بعض نواحي التقنية ولكنهم ليسوا بخبراء» 
نظرات شاملة حول حماية أنظمة تشغيل الحاسوب» والشبكات اللاسلكية 
المحلية الداخلية (LANs)‏ وتقادم البيانات مع الزمن» وتخزين البيانات 
واستعادتهاء والبنية التحتية للمفتاح العام (التعمية/ الشفرة)» والمميزات 

البيولوجية للإنسان BI)‏ هويته)» والبطاقات الذكية. 


Gag‏ القسم أيضاً إلى عرض التقنيات المقبولة» وواسعة الانتشار في 
السوق» والمفيدة لمهندسى أمن المعلومات والإدارة العليا والمدراء التنفيذيين 


عند إعدادهم Lbs‏ المواردٍ والميزانيات. 
الاستراتيجية الإجمالية 


عند الأخذ بالحسبان الأهداف والتقنيات والطرق المتعددة المستخدمة من 
قبل القراصنة» ومخترقي نظم المعلومات» والمراهقين» والموظفين للنفاذ غير 
المشروع إلى أصول المعلومات» OB‏ الإستراتيجية الإدارية لإحباط جهودهم 
Lal Cbs‏ تبنّى مقاربات متعددة. تلعب التقنية» بوصفها حاضرة ومتوفرة 
دوماً» دوراً ere‏ في العمل آلياً على: كشف» وإيقاف» وتعيين مكان» 
وتحديد نوع» وتسجيل» النفاذ الاختراقي غير المسموح به إلى شبكات 
وأنظمة المعلومات. 

تقدم أنظمة التقنية» إذا ما جرى اختيارهاء وتنصيبهاء وتشكيلهاء SS‏ 
ملائم» دعماً طوال 24 ساعة على مدار الأسبوع إلى خبراء أمن المعلومات 
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النهائية المتعلقة COLL YL‏ أو بإخفاق الأجهزة» أو بخطإ البرمجيات» أو 
فشل اختبارات الأمن المخططة. بشكل عام» تصنف الحواجز التقنية لتحقيق أمن 
المعلومات إلى: 

© حماية البنية التحتية: وهي قاعدةٌ المستوى الرئيسي الذي يسمحٌ 
oh ened‏ الأمن eV‏ العمل والتواضل Lan‏ 

© حماية برمجيات التطبيقات ونظام التشغيل: حماية برمجيات التطبيقات 
ونظام التشغيل من التغييرات والتعديلات غير المباحة» وذلك عن طريق إزالة 
البرمجيات غير الضرورية» وحصر إجراء جميع التغيرات على إدارة النظام في 
ظل عمليات إدارة البنية. 

© تفص التجهيزات وتثبيت هويتها: التحقق من وجود هوية مؤكدة لكل 
التجهيزات الحاسوبية على شكل رموز مسجلة فى مكونات هذه التجهيزات» لا 
يمكن تغيرها بسهولة أو برخص» وتستخدم في إجراءات التحقق من المستخدم 
وفي الرقابة. 

© تخطيط تقادم البيانات وإدارتها: يضمن أن البيانات التي جمعت على 
مدار سنوات عديدة وخزنت» يمكن قراءتها واستخدامها بنجاح » على الرغم من 
التغييرات في cb‏ وفي المعايير التقنية. 

© بروتوكولات التخزين الاحتياطي والاستعادة منها: يخوَّلٌ النسخ الدقيق 
للمعلومات المستخدمة WE‏ من أجل استعمالها من قبل المنظمة إذا ما حدث 
إخفاق غير قابل للاسترداد لمكونات الحاسوب الصلبة (التجهيزات). 

© الطرق المباحة للنفاذ إلى النظام : تقدم مستويات عديدة من التحقق من 
هوية المستخدم» وتهدف إلى ضمان أن الأشخاص والأنظمة المسموح لهم فقط 
هم من يستطيع النفاذ إلى المعلومات والشبكات. 

paris ©‏ نظام الأمن: يتأكد من أن أنظمة الأمن تعمل» كما هو مخطط 

تقدمٌ البرمجيات والتجهيزاث» عندما تطبق على أساس متين من الهيكلية 
والحوكمة» حماية قوية من التهديدات المتعددة داخل وخارج المنظمة. لا يوجد 
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بالطبع Jor‏ كامل» لمسألة أمن المعلومات. إن الأسواق المتعلقة بالحاسوب 
والاتصالات هي أسواق إبداعيةٌ وديناميكيةٌ Bess‏ لعوامل السوق بشكل 
كبيرء لذلك فهي لا Le‏ معايبر صارمة كالتي تفرضها المقارباث الشديدةٌ غير 
yall‏ 
حماية البنية التحتية 

البنيةٌ التحتيةٌ الحاسوبية» في أغلب المنظمات» هي العصبُ الرئيسي 
للتواصل ولتقديم الخدمات» وتشتمل على عناصر مثل: تشغيلٍ ASA‏ ونقلٍ 
البيانات الكترونياًء ومكاملة نظم البرمجيات المشتراة جاهزة من مزودين 
مختلفين COTS‏ وخدمات اسم النطاق (DNS)‏ ودليل خدمات الشركة (كلمة 
سر واحدة عبر جميع الأنظمة) وعملياتٍ الدعم المستمرة. يتضمئنٌ Sal‏ البنية 
ا Gag tle NG Aiea‏ ركد الاو مات 
ومكتباتٍ البيانات» وأنظمة Lie‏ وأرشفة المعلومات على الأشرطة والأقراص»› 
ونقاط النفاذ الاحتياطية الإضافية للشبكة لتلافى حدوث Gl‏ فشل جرّاء وجود 
EE E ees gts‏ ادر le‏ الاق 
لضمان استمرار العمليات في حال انقطاع الطاقة الكهربائية العامة بسبب 
إخفاقات شبكة الطاقة أو مشاكل متعلقة بالطقس. 

إن حماية البنية التحتية الفيزيائية نشاط تقليديٌ في (تقنية المعلومات) وقد 
تم تحقيقه بنجاح؛ إذ توجد تقارير قليلة جداً حول مراكز معلوماتٍ تعرّضت 
للاعتداء الفيزيائي من قبل إرهابيين أو مقتحمين» وتوجد تقارير أقل عن حدوث 
سرقاتِ مادية. لقد كان موظفو الشركة» وفقاً للتقارير المنشورة» وراء جميع 
ge OG ul‏ واخل lege Sie‏ 
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(لفصل الساوس 


أمن المعلومات اللاساكية 


كليفتون بوول 


جامعة الدفاع الوطني» OLY SI‏ المتحدة الأمريكية 


المقدمة 


لقد ازداد GLAS!‏ الشبكات المحلية اللاسلكية في العمل وفي المنزل بشكل 
مفاجئ ف lp Op ae‏ العديدة المافية بطر إلى ظهون المرتركول 
)802.110( كمعيار معتمدٍ من أجل الاتصالات اللاسلكية )2002 بطهلة81-5). 
yt Ue games SM 43 93‏ جات الشبكة اللاسلكية لإقامة شبكة منزلك أو عملك 
اللاسلكية. لقد el ai‏ منذ عام 62001« اعتماد الشبكة اللاسلكية في الاستخدام 
المنزلي عشرة أضعاف. ويوجد OV‏ أقسامٌ كاملة في محلاتٍ بيع إلكترونياتِ 
المستهلك مكرسة لبيع المنتجات الخاصة بمكتب العمل أو المنزل (50110). 

تَستَخدِمٌ OV‏ العديذ من الشركاتِ الشبكاتٍ المحليةً (LANS)‏ اللاسلكيةء 
كطرق slat!‏ المفضلة ضمن منشآتهم» وذلك بسبب سهولة إنشائها وتمديدها 
وتنصيبها وصيانتها ونقلها من مكان إلى آخر )2002 .(Al-Saleh,‏ يتطلب تغيير 
الشبكة باستخدام التقنية اللاسلكية تعديلات قليلة للمحيط المادي. إن استخدام 
lal‏ اللاسلكية ele)‏ الشيكة مع ange el el‏ تطويزية كير عدن Sais gr‏ 
الشبكة الحاسوبية أو النظم الإلكترونية الأخرى» أمراً يسيراً. Atay‏ مستخدم 
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الحاسوب المحمول بحرية التجؤّلٍ هنا وهناك في مؤسسته مع الاحتفاظ بالنفاذ 
إلى الإنترنت وإلى باقي الشبكة. إن الحل اللاسلكيّ هو AST‏ امتيازاً من تمديد 
شبكة (Ethernet)‏ السبلكية عندما تكون الجر ee‏ بعيدة عن ees‏ عفنا 
ويكون المستخدمون بحاجة إلى النفاذ إلى الشبكة. 


هناك نوعان من الشبكات المتوفرة للمستخدم اللاسلكي: شبكة الحاسوب 
الداخلية (LAN)‏ اللاسلكية (WLAN)‏ الخاصة و تلك المفتوحة. تكون أغلب 
الشبكات الداخلية اللاسلكية (WLAN)‏ مرئية للمستخدمين كافة» ولكنها تتطلب 
درجات متعددة من التحقق من الهوية لإحراز النفاذ إليها. تقترن عادة الشبكات 
الداخلية اللاسلكية (WLAN)‏ الخاصة بالمؤسسات التجارية الضخمة» وتصمم 
بشكل يتطلب من المستخدمين إثبات الهوية للنفاذ إلى الشبكة. يتطلب نوع 
الشبكات الخاصة استخدام مفتاح مشترك للتحقق من هوية المستخدم» كما ME‏ 
عدد المداخل اللاسلكية لشبكة المؤسسة. إن العديد من تطبيقات (SOHO)‏ 
تتحرك باتجاه هذا النموذج BY‏ يوفرٌُ لها مستوىئ أعلى من التأمين لبياناتها. لا 
يتطلب نموذج التحقق من E‏ النظام المفتوح أي تحقق من الهوية 
لإحراز النفاذ إلى الشبكة. إذ يبيح مالك الشبكة SY‏ مستخدم قريب من الإشارة 
النفاذ إلى مصادر الشبكة المتوفرة. في معظم الحالات» يكون هذا سهلا كسهولة 
الاتصال بالإنترنت واسع النطاق. يوجد العديد من الشبكات التي تمنح» عن 
غير علم» نفاذ المستخدمين لمصادرهاء LG ON‏ النفاذ إليها مُشّكلة أو مُدارة 
Sr‏ غير ملائم. 

إن العدد غير المحدود للمنتجات والمصطلحات يجعل فهم الأمر صعباًء 
ما هو اللاسلكى» وكيف يمكنه تغيير نظرتك إلى الأمور المتعلقة بالشبكة. يسلط 
34 الفصيل pe bes th asl Guau a sath‏ كول 
)802116( ر ih‏ يعن ا ESL‏ الى اش Jee‏ 
شبكات (WLAN)‏ وبعضاً من الممارسات القادمة والاستثنائية فى مجالهاء 
وثغرات هذه الشبكات واستراتيجيات أمنها. l‏ 

تعاريف 


8 


إن المعياة 6021167 عي SLU Seal‏ (1802:11الدى GEE‏ فا 
et al‏ المخلية CLANS)‏ اللاسلكية ؛ ودد سترطة دنق be lea‏ فة itra‏ 
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)802.116( بوظائف شبكة لاسلكية تكافئ تلك التي يسمح بها المعيار 
(Ethernet)‏ للشبكة السلكية. إن المعيار )802.11( هو مجموعة من المواصفات 
المطورة من قبل معهد المهندسين الكهربائيين والالكترونيين (IEEE)‏ من أجل 
تقنية (LAN)‏ اللاسلكية. 

Slay sl gol flee ce (AP) SU) dk ©‏ حاسوتب fet‏ 
كنقطة تجمع لمستخدمي أجهزة و كي يتصلوا بشبكة (LAN)‏ السلكية. 
إن ad! bw‏ مهمة من أجل توفير أمن معلوماتٍ لاسلكي قوي وتوسيع 
نطاق الخدمة للمستخدم اللاسلكي. يدعى هذا أحياناً «البقعة الساخنة) 
اللاسلكية. 

© مُعرّف مجموعة الخدمة (SSID)‏ هو المعرّفُ الأوحدُ المخصصٌ لجميع 
SLA) ba‏ فى a‏ الجخ اللاسلكية Lace .(WLAN)‏ اول 
N SU) SS OE eo A‏ مو لنا من :39 Nose‏ وفيت 
دور كلمة سر تمنع المستخدمين المحظورين من النفاذ a‏ الشبكة. 

pall eS rg WER) a IGEN aati Nao ese 
معلوماتٍ للشبكات المحلية اللاسلكية المحدد في معيار (802.115). يستخدم‎ 
طبقة‎  )051( في أخفض طبقتين من نموذج الاتصالات المعروف‎ (WEP) 
Sal ارتباط البيانات والطبقة الفيزيائى أو المادية» لذلك فهذا البروتوكول ليس‎ 
بتوفير أمن المعلومات عن طريق‎ (WEP) من النوع «من نهاية إلى نهاية». تقوم‎ 
الموجاتٍ اللاسلكية كي تكون محمية أثناء انتقالها من نقطة‎ je تعمية البياناتِ‎ 
إلى أخرى.‎ 

(Wi-Fi) ©‏ هو اختصارٌ ل Wireless Fidelity‏ أو الإخلاصٌ (SLY‏ 
وهو Lol‏ آخر للمعيار (802.115 1888). إنه مصطلحٌ OP Gyles‏ يستخدمٌ بدلاً 
من (802.11b)‏ وبنفس الطريقة التي يستخدم فيها مصطلح (Ethernet)‏ بدلا من 
(IEEE 802.3)‏ . 


6 شبكة الحاسوب المحلية اللاسلكية (WLAN)‏ هي نوع من أنواع 


Wireless Ethernet Compatibility Alliance. من قبل‎ GÍ Ge) 
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شبكاتٍ الحاسوب المحلية التي cle ge PALS‏ لاسلكية عالية التردد بدلا من 
الأسلاك لتتصل بين العقد. انتشرت شبكات (WLAN)‏ أو Wi-Fi‏ في الاستخدام 
الخصوصي داخل المنزل أو الشركة أو في الأماكن العامة. 

© النفاذ المحمى ل (Wi-Fi WPA)‏ هى مواصفاتٌ LG‏ على 
معايير تحسين أمن dss CA‏ بقوة bes‏ حماية البيانات والتحكم 
بالنفاذ لأنظمة LAN‏ اللاسلكية الموجودة حالياً والمستقبلية. cah‏ 
المواصفة pis! (WPA)‏ تعميةً محسنة للبيانات ولتوفْرَ التحقق من هوية 
المستخدم ) 2003 (Wi-Fi‏ 


كيف تعمل شبكة (LAN)‏ اللاسلكية 


atm,‏ معياز (802-11b)‏ طزيقتين: طريقة البئية. القحتية» وطريقة «حست 
الحاجة». تتألف الشبكة اللاسلكية فى طريقة البنية التحتية من نقطة نفاذ واحدة 
على AR Ae ee IG ae EN‏ .سيوف من عطاك 
لاسلكية. يدعى هذا التكوينٌ أو الهيكلٌ مجموعة الخدمة الأساسية (BSS) Basic‏ 
Service Set‏ (الشكل 1(« وتختص كل مجموعة خدمة أساسية (BSS)‏ بمعرّفٍ 
de pares‏ الخدمة .(SSID)‏ إن de pers‏ الخدمة الموسعة (ESS)‏ هئ مجموعة من 
Ut! Ole pene ow asl oh cdl‏ الأماسية 80م UL HELL‏ شك 4 
واحدة تشترك في (SSID)‏ 


ونظراً إلى أن Chel‏ الشبكات اللاسلكية للشركات (WLANs)‏ تتطلبٌُ SUJI‏ 
إلى شبكة (LAN)‏ السلكية للوصول إلى الخدمات (مخدمي الملف» 
والطابعات» وروابط الإنترنت)» فإنها ستعمل ضمن نموذج البنية التحتية. تغطي 
نقاط النفاذ dole‏ مسافة 300 إلى 0 قدم» ويختلف laste‏ لتشكيل WLAN‏ 
وفق طريقة البنية التحتية LS‏ للأمور التالية: مساحة المنطقة المطلوب تغطيتهاء 
وتشكيل الشبكة» والحدود الفيزيائية لمناطق التغطية» وعدد المستخدمين لكل 
جزء منها (الشكل 2( 

إن الطريقة الثانية أي طريقة «حسب eb‏ تدعى Lal‏ طريقة المثيل 
للمثيل» أو مجموعة الخدمة الرئيسية المستقلة (1855)» هي ببساطة و 
من محطاتٍ لاسلكية وفق المعيار )802.11( تتصل بشكل مباشر مع بعضها 
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بعضاً بدون استخدام نقطة نفاذ أو أي اتصال بالشبكة السلكية. 


مجموعات الخدمة الأساسية والموسعة 





مجموعة الخدمة الأساسية (855) 


مجموعة الخدمة الموسعة CESS)‏ 





الشكل (1). 


الشبكة اللاسلكية التصورية 





المساعد التتخصي الرقمى 
- بكة gi gli”‏ 4“ 





الشكل )2( 
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إن هذه الطريقة مفيدةٌ فى OVE‏ الحاجة لإنشاء شبكة لاسلكية بسرعة 
وسهولة في مكانٍ لآ مود فيه ينية ف RUN‏ أن تكو as‏ رور 
لتقديم Sus‏ مثل: صفوف التعليم» وغرف الاجتماعات» والمطار» أو حيث 
يكون الوصول إلى الشبكة السلكية متعذراً (مثل المستشارين في موقع الزبائن). 
تعمل طريقة (IBSS)‏ جيداً في غرفة الصف من أجل مشاركة الملفات بين أعضاء 
فريق المشروع أو إحالة العمل المنجز إلى الملف المركزي على حاسوب المعلم. 

للاستفادة من المعيار (802.11b)‏ في GI‏ من الطريقتين المذكورتين يتوجب 
عليك أن (ak‏ في جهازك بطاقة الربط A‏ شبكة اللاسلكية Network Interface‏ 
Cas (Card (NIC)‏ بطاقة (NIC)‏ في GS‏ البطاقة الصغيرة في الحاسوب 
Gedy e (PCMCIA)‏ للاستخدام مع شبكة (WLAN)‏ وتأتي الحواسيبُ 
الحديثةٌ مجهزةً بهذه البطاقة (WiFi)‏ كجزء من التكوين النظامى ولا Siks‏ 
بطاقة l (NIC)‏ 

يَنْفُذٌ المستخدمون إلى شبكة (WLAN)‏ عن طريق نظام 3555 الهوية. 
يمتلك بروتوكول (802.11b)‏ وسيلتين Shad‏ هوية المستخدمين : Shas‏ النظام 
المفتوح وتَعرُف المفتاح المشترك. 

لا Clb‏ منك تَعَرْفَ هويتك كي تصبح عضواً في شبكة (WLAN)‏ 
(الشكل 3)» التي تعمل كنظام مفتوح. إذ يرسل المستخدم ببساطة عنوان 
(MAC)‏ فقط لإحراز النفاذ. وهنا od‏ أن يثق المستخدم بأنه يتصل مع نقطة نفاذٍ 
واقعية بدون وجود وسيلة فعلية للتحقق من ذلك. لا يُمنح المستخدم النفادً للشبكة 
Gt OY WE‏ مجموعة الخدمة (SSID)‏ يكون غير معروف» أو غير مُمرّرٍ من 
نقطة النفاذ كما يجب» إذ من المهم معرفة المحدد الأوحد لأجل نان Skill‏ 
ded‏ هذه المصافحة أوتوماتيكياً في أغلب التطبيقات بدون علم المستخدم. 


في نظم التحقق من الهوية وفق طريقة المفتاح المشترك تُستخدمٌ تقنية 
«تحدي ‏ استجابة» لمنح النفاذ إلى شبكة (WLAN)‏ يبيّن كل من كاريجينيس 
وأوينس )2002 (Karygiannis and Owens,‏ أن المستخدم يستعمل مفتاحا مشفرا 
مشتركاً مع نقطة النفاذ فيشفرٌ التحديّ المرسل من الشبكة ويعيدُ النتيجة إلى نقطة 
النفاذ. تقوم نقطة النفاذ بفك تشفير النتيجة المحسوبة من قبل المستخدم وتسمحٌ 
بالنفاذ فقط إذا كانت القيمة التي فك تشفيرها تتطابق مع التحدي العشوائي 
المرسل في البداية» إن طريقة التحقق من الهوّية هذه هي تقنية بدائية في التشفير» 
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كما إنها لا تزود تحقيقاً Yokas‏ ذلك يعني أن المستخدم لا Gao,‏ من هوية نقطة 
النفاذ (AP)‏ ولذلك فلا يوجد ضمان Ob‏ هذا المستخدم يتصل بنقطة نفاذ 
وبشبكة لاسلكية شرعيين: وينظر لهذا BS‏ في النظم اللاسلكية الحالية. 


مصافحة الإستجابة والتحدى 


re Q q) (AP jalka 
5 $ 
الهوية‎ 


من 


Gull,‏ |التحاف 


توليد رقم عتىوائي لتحدي 
المحطة اللاسلكية (المستخدم) 
تشفير التحدي باستخدام 
خوارزمية04 ۸ 


فك تشفير الرد لاسترداد التحدي 
والتحقق من أنه مطابق للاصل 











الشكل )3( 


إن أمن المعلومات هي السيئة رقم واحد في استعمال شبكات (WLAN)‏ 
Ais‏ شبكات (WLANS)‏ فرصاً Able‏ للمخترقين لاقتحام معلومات المؤسسة» 
يشار WE GS)‏ ب :«الغرب: الضتاري: AKA Ota pa‏ إن تركبب شبكة 
(WLAN)‏ يشابه وضعك لقطعة من LIS‏ الشبكة خارج نافذتك مع لافتة تقول: 
«اتصال حر بالانترنت». قد يرغب أشخاص باحتبار الخط ليروا ما إذا كان NGS‏ 
فور اكتشافهم لفعالية الخط. سيحاولون توسيع نفاذهم وامتيازهم بقدر ما يسمح 


() كناية عن ضراوة هذه الظاهرة. 
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به أمن شبكة (LAN)‏ السلكية. لقد obs‏ السيئات على الحسنات المكتسبة جراء 
تركيب شبكة (WLAN)‏ 


إن الات هة 


© قابلية التحرك: إن المستخدمين ليسوا مقيدين بمكانٍ cols‏ فهم 
قادرون على الوصول إلى الملفات» ومصادر الشبكة» والإنترنت بدون الحاجة 
إلى الاتصال بالشبكة فيزيائياً بواسطة الأسلاك. 


© تزايد الإنتاجية : يعمل مستخدمو الأجهزة أو الحواسيب النقالة بشكل أكبر 
لصالح الشركة عندما لا يكونون داخل البناءء فستجدهم يعملون في القطارات» 
والطائرات» والباصات والسيارات» فبعض المستخدمين يكون أكثر إنتاجاً فور 
ذهابهم إلى a‏ المساحات cre‏ 207 عامة أكثر راحة. 
اتصالات الشبكة nen y ie ae‏ فلا ا 3 إزالة ee al‏ ولن 
oy‏ أحدٌ إلى الأرضيات أو السقوف لسحب ALY‏ ولا توجد أية تعديلات 
لازمة لعلبة الأسلاك. 

© المرونة E‏ ل 

من أجل Spe EL‏ مثل : غرفة الصف» أو مؤتمرء أو أحداث مؤقتة أخرى. 

© قابلية التوسعة أو القدرة على تغيير حجم الشبكة : من الممكن تركيب 
a‏ م كات pro peal‏ الصغيرة إلى doe geil GIS‏ الفح ا 
التى تغطى مساحة واسعة. 

الممارسات اللاسلكية 

تقض القراضتة وف اباس هق اقول الات A SGU‏ هذا 
القراصنة أول ما بدأوا بما يسمّى «التحرّي بالهاتف» ‏ الاتصال بأرقام هواتف 
إلى أن يجدوا «مودماً» مفتوحاً للنفاذ إلى الشبكات. لقد خلق ازدهاز الإنترنت 
في التسعينيات طرقا مباشرةً وسهلة جدا للاعتداء مثل: متفحص بروتوكول 
الإنترنت» ومكتشف الرسائل أو plat‏ كتل المعلومات. إن شبكات (LANs)‏ 
أكثر أمناً من شبكات (LANS) OY (WLANS)‏ محمية إلى حد ما بطبيعة بنيتها 
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الفيزيائية» نظراً إلى أن بعض أو جميع أجزاء الشبكة مُتوضّعة داخل البناء الذي 
يمكن حمايته من النفاذ المحظورء LI‏ شبكات (WLANS)‏ الموجودة عبر 
الموجات اللاسلكية فهى لا تمتلك البنية الفيزيائية ذاتهاء ولذلك فإنها ast‏ 
عرضة للتلاعب. يسمح روتوكرك 1802:1185 اداه برهو لك JU‏ ممق Mead:‏ 
الموثوقين وغير الموثوقين. لقد تسبب هذا الانفتاح بظهور الجيل الثاني لاقتحام 
الشبكة المعروفة باسم «التحرّي بالسيارة». 

Les‏ «التحرّي بالسيارة» باستعمال حاسوب محمولٍ مزودٍ «ببطاقة الربط مع 
الشبكة» (NIC)‏ وببرمجيات قرصنة» وبالتجوال بالسيارة لالتقاط إشارات شبكة 
(WLAN)‏ غير محمية. في هذه المرحلة من اللعبة يشن قراصنة التحرّي بالسيارة 
هنا وهناك عمليات للبحث عن أو خطف الشبكات (LAN Jacking)‏ كما 
تسمى أحياناً - شبكات لاسلكية من أجل النفاذ المجاني إلى الإنترنت السريعة 
مع إخفاء الهوية. يقود» بشكل روتيني» سائقو التحرّي على شبكات (LAN)‏ 
اللاسلكية سياراتهم المجهزة بحواسيب محمولة مشحونة ببطاقة (LAN)‏ 
اللاسلكية» وبهوائي خارجي ذي ربح عالٍ» وبجهاز استقبال النظام العالمي 
لتحديد الموقع (GPS)‏ ثُلَقَمْ كل من بطاقة شبكة (LAN)‏ اللاسلكية» وجهاز 
الاستقبال المحدد للموقعء الإشاراتٍ إلى داخل Slee SI‏ المجانية» مثل 
برنامج «عاثر النت» (Netstumbler)‏ لاكتشاف نقاط النفاذ ومعرّف مجموعة 
خدمتها ومواقعها المستنتجة من ال (GPS)‏ إن شكلاً آخر للتحرّي بالسيارة هو 
التحرّي بالطائرة» حيث تكون أداة النقل طائرة بدلاً من سيارة. لقد شاع مؤخراً 
تَجُوَلُ الطلاب في الأماكخ الجامعية مع حواسيب محمولة مجهرة ببرمجيات 
فاحصة لتحديد مكان نقاط النفاذ في الأبنية. لقد انتشر نشاط تحديد مكان نقاط 
النفاذ في السنوات القليلة الماضية انتشاراً كبيراً. 


يستخدمٌ القراصنةء لتحديد أمكنة نقاط النفاذ (AP)‏ تقنيةً تدعى تحرّي 
الحوار (www.warchalking.org)‏ (الشكل 4). إذ إنهم يستخدمون ببساطة الحوار 
لوضع رمز خاص على رصيف المشاة» أو على سطح آخرء يشير إلى وجود 
شبكة لاسلكية a‏ خاصة تلك التي تمنح وصولا للإنترنت. إن التحرّي 
بالسيارة وتحرّي الحوار نشاطان يمكن النظر إليهما على أنهما «ثقافة ثورية 
جديدة)» باعتبار أن الجمهور المستهدف ليس مالك الشبكة المستهدفة. خلال 
السنتين الماضيتين تكاتفٌ العديدٌ من الأشخاص لدعم «يوم عالمي للتحرّي 
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بالسيارة»)» حت ور شي قار بن البياناتِ من تجربتهم في التحرّي بالسيارة 
إلى قاعدة بيانات مركزية. 425 هذه الفكرة ة بنجاح تجاري عظيم حيث bed‏ العديذ 
من بائعي التجزئة» Ly‏ فيهم مثلاً مقهى (Kinko's & Starbucks)‏ جاذبية وفائدة 
هذه الأجهزة اللاسلكية وتبنوا هذه النزعة اللأحدثء ألا وهي : البقع الساخنة. 


النّرّعات 
إن البقعَ الساخنة هي عقدٌ لشبكة عامة وفق المعيار ل (ط802.11) متاحة 
للمستخدمين اللاسلكيين» وتوضع غالباً في أماكن مأهولة بشكل كبير مثل 
المطارات» ومحطات القطار»ء والمتاجرء وأحواض إرساء السفن» ومراكز 
الاجتماعات والفنادق. تمتلك البقعُ الساخنة dole‏ مدى قصيراً للنفاذ وهي متاحة 
على موقع جغرافي محدد. توجد GV‏ من هذه المواقع التي تقدم نفاذاً لاسلكياً 
منخفض AUS‏ أو مجانياً إلى مصادر الإنترنت والشبكة. 


Leah PS pene gb yee 








الشكل (4): رموز تحرّي الحوار http://www.warchalking.org/story/2002/8/20/‏ > 
.> 17730/3808 
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ستقوم البقع الساخنة بتغيير ثقافتنا من خلال تزويد نفاذ للإنترنت ذي سرعة 
UL‏ في أي مكان وفي كل الأوقات. لقد اتخذ العديد من تجَّار التجزئة قرارا 
تحار Gnas‏ نك ا نويات egies Clays‏ تسعد كل من Galil‏ 
الوطنية والعالميةء والمخابزء والمقاهى النفاذ المجانى لجذب المستهلكين أملا 
في ابيع قد أكبر من 'القهوة والمعجنات ا ltl‏ اعمال المستخدمين لنقاط SUS‏ 
عالية السرعة» حيث يتمتع المستخدمون بالنفاذ السريع إلى الخارج وبالاتصال 
بشبكة خصوصية افتراضية (للشركة التي يعملون بها Ole‏ كما يستطيعون أن 
يصلوا بسهولة إلى مكتبهم لاسترجاع المحتوى من الشبكة المشتركة. لقد خلق 
استخدامٌ البقع الساخنة ثقافة جديدةً لدى المستخدمين الذين يعتقدون OL‏ النفاذ 
اللاسلكي يجب أن يكون عاما ومجانيا. 


لقد خططت منظمات فى الولايات المتحدة» مثل المنظمة اللاسلكية 
المشتركة وشركائها في gia‏ الشبكة اللاسلكية المشتركة» OY‏ تقوم بتقديم 
نفاذ لاسلكي مجاني إلى الجميع (http://www.communitywireless.org)‏ . 
تقتنى» وفق هذه الخططء العديدٌ من المجموعات والأفراد المحتوى والحزمة 
Lapa‏ شرا لمعي LT satan‏ اللي الطاب Shy ASLO‏ 
المعيار )802.11( (الشكل 5) ذي الوصول المجاني وبرمجياتٍ جاهزة ليس عليها 
حقوق ملكية فكرية OV dey COTS‏ عددٌ من الشركاء في مشاريع عبر الكرة 
الأرضية يعتقدون أن الشبكة اللاسلكية هي للعامة» ويأملون باستمالة دعم 
المجتمع التجاري لهذه الفكرة. 


الثغرات 


تنطبق جميع الثغرات الموجودة في الشبكة المحلية السلكية التقليدية 
(wired LAN)‏ على التقنيات اللاسلكية )2002 .(Karygiannis and Owens,‏ يجب 
أن يقوم المدراء بمعالجة ثغرات الشبكة المحلية اللاسلكية (WLAN)‏ بقدر أكبر 
من الحذر» مثل: نقاط الضعف في البنية أو التنفيذ أو التصميم أو إدارة الشبكة 
أو النظام. ots‏ الشبكات اللاسلكية تحديات خاصة بها عند محاولة تخفيف 
التهديدات» وهي أيّ شيء قد يعطل العمل القويم للشبكة أو النظام» فالأجهزة 
اللاسلكية Cu‏ مشكلات أكثر elie‏ طبيعتها المتحركة. إن هذه الأجهزة تنتقل 
من شبكة إلى أخرىء Me‏ بالإنترنت وعائدة إلى شبكة (WLAN)‏ المشتركة 
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مع احتمالية نقل جميع أنواع البرمجيات الخبيثة. إلى حد ماء يجب أن ee‏ 
مستخدمو الحواسيب النقال بمثابة «ناقلين للبرامج الخبيثة» Oly‏ يتم عزلهم 
بشكل إلزامي على الفور في منطقة «معزولة» إلى أن يتلقوا فحصا ملائما لإزالة 
جميع TES‏ الخبيثة (malware) EN‏ . 


أمن المعلومات اللاسلكية 802.111 


و لا أمن ,أو أن الأمن يقدم من خلال وسائل اخرى 








او نقطة تفع الشبكة المحلية السلكية 








الشكل )5( 


قد ينقل المستخدمون برامج خبيثة (malware)‏ لا شیرتا ويصيبون 
بالعدوى الشبكة المحلية المشتركة (LAN)‏ إذا لم تتخذ الإجراءات الوقائية 
الا 

تحدد النشرة الخاصة NIST) J‏ 800-48( بعضاً من أكثر الثغرات والتهديدات 


زعا في الأجهزة اللاسلكية» لقد صمت بشکل يوضح مبداً أمن المعلومات 
الذي قد أخل به Lee‏ لا يجري تخفيف هذه الثغرات والتهديدات كما يجب. 


Éis‏ انتهاكات السّرية إذا: 
6 جرى Gael‏ على المعلومات الحساسة غير المشفرة Gh)‏ المشفرة 
بتقنيات تشفير ضعيفة) والمنقولة بين جهازين لاسلكيين» وتم كشفها. 
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© انوكت الكباناث الخ خصاصية ea‏ الشرعيين واكسيت 
القدرة على dS‏ حركاتهم الفعلية. 

cal eect الححاحة فيكة شيركة اا‎ ela glad) a 
ما تسرق بسهولة.‎ dole التي‎ 

تتعرض سلامة المعلومات للشبهة إذا: 

eS‏ ال اناك اللخ عزلى Sal‏ المحظوو» إلى فة ايت 

د a SUL aes ly‏ هوا ميحد رغ Ge Ny‏ علي lA‏ 
الداخلية أو الخارجية للشركة. 

- تَخرّبت LLJ‏ الحساسة أثناء المزامنة الخاطتة. 

- سُرقّت البيانات He‏ من الأجهزة المركبة بشكل خاطئ. 

LEE ENS ANS عفدت الفيووساظ ع‎ 

تنخفض الجاهزية إذا : 

- وجهت اعتداءاث «الحرمان من الخدمة» (DOC)‏ إلى الوصلات أو 
الأجهزة اللاسلكية. 

c$ -‏ الكياناث الخبيثة» من خلال شبكة لاسلكية» بمنظمات أخرى 
في سبيل شن الهجمات مع تعمية نشاطها. 

- كان المتطفلون» سواء من الداخل أو الخارج» قادرين على إحراز 
الدخول إلى ضوابط إدارة الشبكة» وبذلك يضعفون أو يعطلون العمليات (النشر 
الخاص NIST.‏ 800-48(. 

تزداد UL‏ حاجة الشركات إلى حلول أقوى لأمن المعلومات نظراً إلى أن 
شبكات (WLAN)‏ قد أصبحت واسعة الانتشار. إن ما أثبتَ مؤخراً حول وجود 
ثغرة فى تعمية «الخصوصية المكافئة للشبكات السلكية» (WEP)‏ قد جعل الأمر 
واضحاًء أي أن حماية (WEP)‏ وحدها غير كافية» فمواصفات الأمن في (WEP)‏ 
لا تمنح مستوى عالياً من الحماية. لقد ES‏ الثلاثي فلوهرر ومالتين وشامر 
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(Fluhrer, Mantin and Shamir, 2001)‏ طريقة لكسر شفرة تقنية خوارزمية 104 
المستخدمة في (WEP)‏ باستعمال «النص المعمى». لقد صرح هؤلاء المؤلفون 
«لاحظوا أننا لم نحاول مهاجمة اتصال فعلي ل (WEP)‏ ولذا لا ندعي أن 
(WEP)‏ هو عرضة لهذا الاعتداء فعلا). ولكن فيما بعد» íi;‏ ستبلفيد» لونيديس 
وروبن )2001 „~S (Ioannidis and Rubin,‏ هذه التقنية بنجاح مثبتين وجود هذه 
الثغرة فى (WEP)‏ 

ليس هناك داع للغضب بشأن أخطاء التصميم المكتشفة في (WEP)‏ 
ف (WEP)‏ تفعل ما صممت لتقوم به كخدمة أمن معلومات. إنها تقدم» كما يشير 
(LAN)‏ السلكية. لم تكن الضمانات موجودة» وفي حين إعلان هذا المعيار لم 
يكن هناك أي شخص يطالب بمواصفات أمن أكيدة. من أجل شبكات (WLAN)‏ 
قام معهد IEEE‏ بتعين WEP‏ لتأدية الوظائف الثلاث الآنية: 

- التحقق من الهوية: لقد كان الهدف الرئيسي (WEP)‏ تقديمٌ خدمة 
حماية Ce‏ من هوية المحطات المتصلة. يزود هذا تحكماً بالنفاذ إلى الشبكة 
بوساطة رفض وصول محطات حاسوبية لا تستطيع القيام ببيان هويتها كما 
يجب. ery‏ هذه الخدمة السؤال «هل يُسمح فقط للأشخاص المباحين بالدخول 
إلى شبكتي؟ . 

- السّرية: لقد كانت السّرية أو الخصوصية الهدف الثانى ل (WEP)‏ . فلقد 
طَوَّرَت لتقديم ذات «الخصوصية المحققة بوساطة الشبكة السلكية». إن الغاية 
كانك ts au‏ المعلومات عو Mee) 8 pl Coes Gab‏ اللي 
توجه هذه الخدمة السؤال «هل يسمح للأشخاص المباحين فقط برؤية بياناتي؟». 

- سلامة وصول البيانات: إن الهدف الآخر ل OLS (WEP)‏ خدمة أمن 
المعلومات المطورة لضمان عدم تغيير الرسائل خلال الانتقال بين الحواسيب 
اللاسلكية ونقطة النفاذ فى الاعتداء الفعال. توجه هذه الخدمة السؤال «هل 
البيانات الداخلة إلى الشبكة أو الخارجة منها جديرة بالثقة ‏ هل تم التلاعب 
(Karygiannis and Owens, 2002) (fL‏ . 

تعود Cel‏ المآخذ على أمن شبكات (WLAN)‏ إلى الأخطاء الموجودة فى 
تصميم التقنية أو المواصفة. من الصعب إصلاح نقاط الضعف الموجودة في 
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التصميم حالما يتم شراء المنتج. إن جميع التقنيات عُرضّة لوجود خطأ في 
التصميم» وللتغلب على ضعف التصميم ينبغي على مدراء (WLAN)‏ أن 
يحتاطوا علق نحو ols]‏ لاء وتيك وإدازة LES AKI‏ بجت من الميشحيل 
a weds‏ ا ا ككل ای ا تراه esi‏ و 
إضافته إلى الشبكة. ولكن يوجد C55‏ كاف فور شرائه لإجراء تعديلات طفيفة 
على البنية أو التنفيذ بإدخال ممارسات إدارية ULES‏ تناقش الفقرة التالية الأنواعَ 
المختلفة للإجراءات المضادة المتوفرة للحد من بعض الثغرات المعروفة. 

jas‏ أفضل الإجراءات المضادة نشاطات bY‏ والتنفيذ» والبنية 
(MIC)‏ لتخفيف الغغرات ضمن شبكة (WLAN)‏ يجب أن تطبق إجراءات 
الإدارة المضادة بالارتكاز على سياسة آمن معلومات مرسومة رسماً متقناً. ينبغي 
أن 'تكوون الساسة مرتكرة على رؤيةٍ إداريةٍ وأن Sib] ps‏ عمل من أجل إدارة 
شبكة (WLAN)‏ . بعد ذلك day‏ المدراءُ الرؤية من خلال وضعهم محددات 
وقيم وضوابط الشبكة. 


إجراءات مضادة إدارية 


تعمل إجراءات الإدارة المضادة على تهيئة الساحة لكل ما يمكن أن يجري 
على شبكة (WLAN)‏ بالارتكاز على السياسة» يجب أن تعمل هذه الإجراءات 
المضادة على : 


بحسب E ab‏ وفريق ا أو حسب “an atin‏ 


- تحديد ما إذا كان الدخول إلى الإنترنت مطلوباً من خلال شبكة 
«(WLAN)‏ فبعض تطبيقات (WLAN)‏ تخدم الشبكات الداخلية فقط. 


- توضيحٌ من يسمح له بتنصيب نقاط النفاذ والأجهزة اللاسلكية الأخرى. إذ 
من الضروري التحقق من الاستخدام المناسب للتقنية نظراً إلى سهولة التنصيب. 

- وضع تشديدات حول مكان نقاط النفاذ وحول أمنها الفيزيائي لتقليل Eo‏ 
(مسافة وجاهزية) الإشارة. 


MIC= Management Implementation and Configuration. (3) 
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- توضيح نوع المعلومات التي يسمح بأن ترسل عبر الروابط اللاسلكية 
لتقليل افتضاحات البيانات الحساسة. 

- توضيحٌ الظروف التي تُسمح فيها الأجهزة اللاسلكية. 

- تحديد الأوضاع المعيارية لأمن المعلومات من أجل نقاط النفاذ لتقليل 
المخاطر وتعميم معايير موحدة للم 

- توضيحٌ القيود حول كيفية استخدام الجهاز اللاسلكي مثل: الموقع ضمن 
أو خارج البناء» والقرب من المناطق الحساسة» لتجنب الوصول إلى البيانات 
الشخصية أو السّرية. 

- توضيحٌ البنية المعتمدة البرمجيات والتجهيزات لجميع الأجهزة 
اللاسلكية. 

- تزويد الإرشادات حول تقديم التقارير عند فقدان الأجهزة اللاسلكية 
وحوادث الأمن. 

- تزويد الإرشادات من أجل حماية الحواسيب اللاسلكية لتقليل /تخفيف 
السرقة. 

- تزويد الإرشادات حول استخدام أنظمة التعمية» وإدارة مفاتيحها. 

- تحديد تواتر عملية تقييم الإجراءات الأمنية ونطاقها بحيث تتضمن 
موضوع اكتشاف نقطة النفاذ. 

إجراءات مضادة عند تنفيذ الشبكة 

cd ka تعيب‎ DL الشعواظ بقن‎ 2 soled! Last ctl! of 
على السماح بوقوع النشاط أو الحدث أو منعه. اعتّبز‎ (WLAN) إدارة شبكات‎ 
جميعٌ الشبكات اللاسلكية غير آمنة ومتوفرة علانية. قُمْ بنقل نقطة النفاذ إلى‎ 
إذا أمكن» حيث تكون‎ (LAN «منطقة معزولة» (شبكة فرعية محمية على‎ 
البيانات الحساسة غير متوفرة للمعتدين. ركب جدران النار لتحميك من‎ 
الاعتداءات ومحاولاات الاعتداء.‎ 

- استخدم فقط نوع الحماية (WAPs)‏ وبطاقة (NICs)‏ التي تدعم تشفيراً 
قوياً أي على الأقل (WEP)‏ ذي 64 خانة (ويفضل 128 خانة). 


144 


- خذ بعين الاعتبار استخدام أدوات تعمية» وكذلك أدوات التحقق من 
الهوية من جهة محايدة قبل أن تسمح بالاتصال بنقطة النفاذ إلى شبكتك. 


- حاول انتقاء مكان نقطة النفاذ اللاسلكى (WAP)‏ فيزيائياً بحيث تكون 
إشاراتها ضعبة العثون بالنسنة إلى متلضصصي'الشبكة: أغط اهتماماً بالغا لتوجيه 
Gal (WAP) OK ged Cindy cole‏ من الوا اراي ta BE‏ من 
الا gets sl‏ عرف السيارات. l‏ 

- قم بعملية تفحص دورية للشبكات اللاسلكية ضمن مكان عملك/ منزلك 
وحوله مستخدماً «متلصصاً» أو شركة استشارية متخصصة. إذ من السهل على أي 
WAPNO elo Cab ys‏ 'وتتصيبهما على ple‏ م lye‏ الشركة 
تقوم بعض أنظمة التشغيل بتجسيد (WAP)‏ اتوماتيكياً مع الشبكة السلكية للشركة 
سامحةً بذلك النفاذ للشبكة GE)‏ جدار النار) والحصول على معلومات خاصة 
GY‏ شخص معه حاسوب محمول ببطاقة لاسلكية. ستحدد عملية التفحص ما 
إذا كانت إجراءات أمن المعلومات جاهزة أو ما إذا كان هناك أية تغييرات فى 
ACA de‏ سين dee‏ التتجمن Bleed! Last‏ الى يلها ALENT‏ سلف 
حارج :رانك l‏ 


- اشتر التقنية اللاسلكية old‏ البرمجيات المخزنة بطريقة لا يمكن تغييرها 
أو فقدانها والقابلة للتحديث. يجري تطويرُ تحسيناتٍ جديدة في أمن المعلومات 
«كالنفاذ المحمي (Wi-Fi) (WAP) J‏ ومع المنتج القابل للتحديث» فإن قدرتك 
على استخدام هذه التقنية تصبح أكبر. خذ بعين الاعتبار استخدام (WAP)‏ التي 
أصبحت متوفرة. تمتلك (WAP‏ العديد من المميزات الجديدة لأمن المعلومات 
اللاسلكية» بما فيها: التحقق من الهوية. وإدارة مفتاح التعمية» وبروتوكول 
سلامة المفتاح المؤقت (TKIP)‏ وتَمَخُص سلامة وصول المعلومات» وحماية 
الردود» واحتواؤها على تعمية معيار التعمية المتقدمة (AES)‏ 


- اضمن أن حواسيبك تعمل وفق أحدث مستوى لرُقَع البرمجيات. إن هذا 
نسي ا porter yeu ces‏ معت ear‏ کن اام من ال فول 
إلى الشبكة اللاسلكية. 

- استخدم برنامجاً مضاداً للفيروسات والديدان مع آخر تحديثاته ضد 
الفيروس أو الدود الجديد. سيساعد هذا على منع المعتدي» الذي استطاع 
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دخول شبكتك» من تنصيب فيروس أو حصان طروادة للنفاذ سرا إلى 
حاسوبك» وسيحمي حاسوبك من برمجيات خبيثة أخرى. 

- امنع الدخول فيزيائياً إلى مكان نقطة النفاذء وأبقها بعيدةً عن UB‏ في 
مكان مقفل» وبمنعك الدخول إلى (WAP)‏ فإنك Geers‏ عدم قيام أشخاص 
مدسوسين بإعادة تهيئة النظام» أو التحكم ca‏ أو إعادة بناء الجهاز فيزيائياً. 


إجراءات مضادة بنيوية 


إن الإجراءاتِ المضادة البنيوية أسهل الإجراءات فهماً. تعالج هذه 
الإجراءات المضادة Gerd!‏ من الهوية» والتحكمٌ بالدخول» وسلامة وصول 
البيانات» O25‏ البيانات وأجهزة الحاسوب على الشبكة. إن إدراك كيفية بناء 
نقطة النفاذ هو أمث هام لتحقيق الرؤية الموضوعة في سياسة أمن منظمتك. 
متف البية Glad!‏ العديد Clade oye‏ ومد من bat‏ غير المت dad‏ 
والمفاجئة. إن المقاربة الإيجابية الفاعلةة للموضوع هي أفضل وسيلة لاتخاذ 
الإجراءات المضادة البنيوية؛ باعتبار أن كتيبات الإرشادات تأتي مع معظم التقنية 
اليوم» فمن المفروض أن يكون استنتاج أفضل بنية سهلا من خلال قراءة هذه 
الكتيبات. إن من أهم المواصفات في هذا المجال ما يلي: 

1. إستخدم «الخصوصية المكافئة للشبكات السلكية» أو «بروتوكول التعمية 
اللاسلكي» :)W۴8۶(‏ يخفف هذا البروتوكول (WEP)‏ من خطر اعتراض الإشارة 
الراديوية من قبل شخص ما قريب. (WEP) poe‏ مع وظيفتي التعمية 
والتحقق من الهوية بين الحواسيب ونقاط النفاذ و(425) وفقاً لمعيار (ط802.11) . 
تقوم حماية (WEP)‏ على خوارزمية للتعمية تدعى (RCH‏ تقوم بعض المنتجات 
بالسماح بتعيين طريقة التحقق من الهوية لكلا النطاقين: النظام المفتوح أو نظام 
المفتاح المشترك. استخدم طريقة «المفتاح المشترك» لكي تستخدم التعمية 
للتحقق من هوية حاسوب زبائنك ولتشفير بياناته. وبالرغم من أن تعمية (WEP)‏ 
قن کوت ا أن اله Sle Boca lly T‏ إلى التكلفة daa +) See)‏ 
dab‏ أولى قيّمة للحماية. فى بحثى طيلة السنين الد ال ردت أن 
أكثر من 160 من نقاط النفاذ لا تستخدم (WEP)‏ بينما قد يسبب تفعيلٌ هذه 
الخدمة Gl ei!‏ المعتدي أو المستخدم الفضولي إلى هدفٍ أسهل. تُوَلَدُ 
خوارزمية التعمية انطلاقاً من مفتاح (تتابع الأرقام) مدخل Clty‏ من قبل 
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المستخدم. تبنى جميع الحواسيب ونقاط النفاذ (APs)‏ بمفتاح واحدٍ لتعمية وفك 
تعمية إرسال البيانات. إن مفاتيح (WEP)‏ هي بطول 40 أو 128 خانة» وقد تبنى 
فى ثلاث طرق ممكنة: طريقة عدم استخدام التعمية» أو طريقة التعمية ب 40 
خانه» أو طريقة التعمية ب 128 خانة. 


22 اجعل نقطة النفاذ آمنة بكلمة سرء يجب أن تطلب نقطة النفاذ إلى 
قيبكتك: كلمة سر للدخول إلى مميزاتها الإدارية» إذا كانت لا تقوم بذلك 
استبدلها بواحدة تفعل. استخدم كلمات سر قوية لتحمي من أدوات اكتشاف 
كلمة السّر. تأكد من أن نقطة النفاذ لا تستخدم كلمة السّر الموجودة في الأصل 
عند شرائك للجهاز (default)‏ . إن كلمة السّر الموجودة في الأصل معروفة» 
وستكون واحدة من أولى الاستغلالات التى سيجربها المعتدي المتمرس. يحدد 
العديدٌ من أجهزة الكشف اللاسلكية lal‏ انطلاقاً من «عنوان التحكم بالنفاذ 
إلى الوسائط» المخزن في بطاقة الولوج إلى نقطة النفاذ «(MAC of the AP)‏ إن 
هذه المعلومات Need‏ تخمينَ نوع (WAP)‏ المستخدم» حتى لو تم «تغيير مُعَرّف 
مجموعة الخدمة» .(SSID)‏ قم بتغيير كلمة السّر بشكل دوري. 

3. غير معرف مجموعة الخدمة (SSID‏ إلى اسم استثنائي فعلاً بحيث لا 
يشير إلى مالك نقطة النفاذ. يسمح (SSID)‏ لشبكة (WLAN)‏ أن تكون مفصولة 
إلى شبكات عديدة» ولكل شبكة معرّفٌ مختلف. تُعطى كل شبكة من هذه 
الشبكات pee‏ مختلفاً يُبرمج لواحدة أو أكثر من نقاط النفاذ (APs)‏ للدخول 
إلى أي من هذه الشبكات» على حاسوب المستخدم أن يتمتع بالمعرّف المطابق 
(SSID)‏ لتلك الشبكة» وبالتالى يعمل المعرف (SSID)‏ ككلمة سر بسيطة تزود 
درجة من الحماية. تخلق نقطة الضعفٍ عندما )434 (SSID)‏ أو تتم مشاركته» 
أو يكونٌ الحصول عليه سهلاً بوساطة برمجياتٍ مجانية محملة على حاسوب 
المستخدم للشبكة اللاسلكية. 

4. قم بتعطيل Éo‏ «مُعرّف مجموعة الخدمة (SSID)‏ إذا كانت هذه الميزة 
متاحة من قبل بائع الأجهزة. إن معظم نقاط النفاذ تبث المعرف (SSID)‏ حكما 
(default)‏ . إن هذا يجعل الشبكة تقبل أي (SSID)‏ . بتعطيل Ea‏ المعرفٍ (SSID)‏ 
يتحتم تطابق معرّف الخدمة المبرمج في حاسوب المستخدم مع معرّفٍ نقطة النفاذ. 

5. أغلق بروتوكول تكوين الحاسوب المضيف ديناميكياً ines (DHCP)‏ 
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عنوانَ بروتوكول إنترنت (IP)‏ ثابت للأجهزة اللاسلكية. سيجعل هذا (WAP)‏ 
خاصتك يمتنع عن إرسال عنوان UP)‏ إلى أي حاسوب يحاول الاتصال به. خذ 
بعين الاعتبار أيضاً تغيير (IP)‏ الشبكة الفرعية إلى عنوان غير العنوان الأصلي 
default‏ . إن العديد من نقاط النفاذ تعتمد ال IP‏ ذا الرقم )192.168.1.0( 
للشبكة» وتستخدم ال IP‏ ذا الرقم )192.168.1.1( كعنوان أصلي (default)‏ 
للموجّهِ (Router)‏ يزودُ تغييرٌ هذه الأمور الموجودة فى الأصل (defaults)‏ 
l UNE‏ 

6. قم بترشيح الأجهزة وفق عناوينها المجسدة فيها (MAC)‏ يزيد الترشيح 
من أمن المعلومات من خلال تزويد نقطة النفاذ بقائمة بعناوين (MAC)‏ 
للحواسيب التي يسمح لها بالدخول إلى نقطة النفاذ. إذا كان عنوان (MAC)‏ 
للحاسوب المستخدم غير موجود على القائمة» فإن نقطة النفاذ ستمنع دخوله. 
Quit‏ هذه الطريقة أمن معلومات جيدأء ولكنها تلائم الشبكات الصغيرة فقط. من 
الواضح أن العمل الكبير اللازم لإدخال عناوين (MAC)‏ وإبقاء القوائم محيّنة أو 
Be‏ لجميع أجهزة نقاط النفاذ يخفف من جدوى هذه الطريقة. قد LS‏ نقطة 
النفاذ مع حماية التعمية فقط في طريقة النظام المفتوح» أو تضيف Biss‏ الهوية 
في طريقة المفتاح المشترك. يُستخدمٌ غالباً ترشيحٌ عنوان (MAC)‏ مع هذه 
التعمية. إن حماية (WEP)‏ تلائم الشبكات الصغيرة نظرا إلى عدم وجود 
بروتوكول لإدارة المفاتيح. وبالنتيجة» يجب أن ثدحل المفاتيح يدوياً إلى كل 
حاسوب. قد يشكل هذا ke‏ إدارياً Obl‏ خاصة أنه ينبغي تغيير المفاتيح بشكل 
منتظم لتزويد مستوى حماية أعلى. 

قم بتطويل مدة «منارة» نقطة النفاذ (الفترة الزمنية الفاصلة بين BAS GE‏ 
GR ut‏ }5 ف معدا اهار عو ASLAM ES ope‏ إلى الي 
Joy‏ هذه المنارات من قبل نقاط النفاذ في أوقات زمنية منتظمة وتسمح لمحطة 
حاسوب المستخدم بتحديد وملاءمة بنيته لكي تتصل بالشبكة اللاسلكية. من 
المناسب وضع المدة على قيمتها العليا وهي 67 ثانية تقريباً. 

كطريقة أكثر أمناًء طَوَّرَ بعض البائعين حلول شبكة افتراضية خاصة (VPN)‏ 
التي تُقِيمٌ نفقاً آمناً من أجل حركة المرور اللاسلكية الخاصة بك. تتضمن منتجات 
الحماية اللاسلكية المطورة OVI‏ وسائل للتحقق من هوية جميع المستخدمين 
اللاسلكيين قبل أن يتمكنوا من الدخول إلى مصادر الشبكة» ولتعمية البيانات قبل 
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jyy ومتشكية‎ (AES) pital deel مار‎ Lee el pgll le Uh 
المستخدم إلى أجزاء الشبكة من خلال استخدام «مخدمي السياسة».‎ 


Isle‏ بعد؟ 


يعمل العديد من الأشخاص من أجل تحسين أمن شبكات (WLAN)‏ 
والهدف من ذلك E‏ المقام الأول هو رفع جودة وظيفة أمن الشبكة» أما الهدف 
في المقام الثاني» ولكنه بنفس درجة الأهمية» فهو تعزيز ثقة مستخدمي ومدراء 
الشبكات اللاسلكية. ثمة ثلاث طرق لديها بوادر نجاح IEG‏ مستقبل شبكات 
(WLAN) 802.11‏ وهي : 

(nDosa) 


قد يُدعم مستقبل الشيكات اللاسلكية الآمنة (WLAN)‏ بمنتجات مثل نقطة 
النفاذ المسماة clei .(nDosa)‏ تقنيات (nDosa)‏ تقنية (LAN)‏ اللاسلكية الآمنة 
الي تعتمد على خوارزمية أمن (MESA)‏ (خوارزمية الحماية المعززة) 282058 
التي تجعل إشاراتها غير مرئية للقراصنة وللمراقبين غير المسموح ced‏ وبالتالي 
تقلل Las‏ من قابليتها de AU‏ والانتهاك: ولكن يجب التدويه إلى أن عضن 
القراصنة المصممين لا يزالون قادرين على مراقبة الإشارة الراديوية (RF)‏ ورصد 
نشاط شبكة (LAN)‏ عبر الهواءء إلا أن اقتحام النظام من قبلهم سيكون أمراً 
بمنتهى الصعوبة )2003 .(Kim and Shin,‏ إن هذا الحل مثله مثل حلول 
(WLAN)‏ الأخرى فهي جميعها: قابلة للتوسعة أو التصغيرء وقابلة للتحسين» 
ومرنة» ومن ¿ الممكن تعديلها وفقاً لطلب الزبون. 

يستطيع مستخدمو شبكات (WLAN)‏ الآمنة (nDosa)‏ ليس فقط الدخول 
إليهاء وإنما إلى كل شبكات (WLANs)‏ المعيارية Lal‏ والمنتشرة بشكل واسع 
في الأمكنة العامة أو في المناطق المحمية حماية عالية. عندما تقتضي الضرورة 
تعزيز التحقق من الهوية» أو إجراء إدارة المفتاح» OB‏ تقنية (WLAN)‏ الآمنة 
(nDosa)‏ تعتبر الحل بدون منازع. إن خوارزميات التعمية وحلول الآمن تتطلب 
التحسين باستمرار لأنها في صراع دائم مع القراصنة. ووفقاً لما هو منشور فإن 
خوارزمية (2854) قد صممت لجعل التحسينات بسيطة وسهلة. 

إن لصفت بسن . مخطط (LAN)‏ اللاسلكية المقترح مع تقنية (LAN)‏ 
اللاسلكية الآمنة (Dosa)‏ سيجعل النظام ليس فقط غير مرئي» حتى في الحزمة 
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الراديوية belly (RF)‏ سيضمن Lal‏ أن النظام سيبقى منيعاً نسبياً للهجمات حتى 
لو تم اكتشاف الإشارة. إن تطبيق إجراءي الأمن المذكورين كليهماء سيزوّد 
شبكة (LAN)‏ اللاسلكية بحماية قوية جداً صالحة وملائمة لصون بيانات وبرامج 
الحكومة. 


النفاذ المحمى لل (WPA) Wi-Fi‏ 


إن «النفاذ المحمى لل (Wi-Fi)‏ هو مواصفة لمعيار تحسين أمن المعلومات 
Fas BLS dag gap N‏ ميترى Glam‏ البزانات gig‏ 
التحكم بالنفاذ في أنظمة الشبكات (LAN)‏ اللاسلكية الموجودة والمقبلة. إن 
«النفاذ المحمي لل (WI-FI)‏ قد صمم للعمل على أجهزة الحاسوب الحالية 
كتحسين برمجي مشتقٍ من ومتلائم مع معيار IEEE)‏ )802.11( 


إن المعيار (WPA)‏ هو تجاوب إيجابي من قبل الصناعة بتقديم > قوي 
وفوري لأمن المعلومات. تتوفر ON?‏ برمجيات تحسينية ورخيصة للتنصيب في 
الشبكات المحلية اللاسلكية للمؤسسات أو للمنازل/ المكاتب (SOHO)‏ . إن هذا 
ee ee‏ 
(WAP)‏ هو فرغ all‏ (802.111) وسيبقي فادرا على المللاءمة المستقبلية. 


لقد تمّ وضعٌ مُواصفة النفاذ المحمي ل (Wi-Fi)‏ لتقدم تعميةً محسنة 
للبيانات التي كانت ضعيفة في (WEP)‏ ولتوفرَ عملية التحقق من هوية 
المستخدم المفقودة غالباً في معيار (WEP)‏ 555 هذه التحسينات على استخدام 
التعمية المعززة للبيانات من خلال بروتوكول سلامة المفتاح المؤقت (TKIP)‏ 
يزود بروتوكول (TKIP)‏ تعزيزات مهمة لتعمية المعلومات» بما فى ذلك 
وظيفة خلط المفتاح قبل كل عبوة Pre-Packet‏ وتفحص سلامة SONEA‏ 
الرسالة Message Integrity Check (MIC)‏ المسمى ميشال «(Michael)‏ والموجه 
الابتدائي الممتد Initialization Vector (IV)‏ مع قواعد تسلسل» وآلية إعادة 
إدخال المفتاح. يعالج (TKIP)‏ من خلال هذه التعزيزات جميع ثغرات (WEP)‏ 
المعروفة. 


<http://www.wi-fi.org/OpenSection/pdf/wi-fi_protected_Access_overview.pdf> . (1) 


150 





حياة المفتاح 


مفتاح العبوة(كتلة 
سلامة وصول البيانات 
(header)‏ 

الاعتداء المعتاد 

إدارة المفتاح 

تعمية الترويسة (header)‏ 


الطريقة المخبأة 








WEP 
RC4 


40 خانة 


ae _ ۷ 


CRC _ 32 


لا يوجد 


لا يوجد 
لا يوجد 


لا يوجد 





لا يوجد 





جدول مقارنة 


WPA 
RC4 
تعمية 128و‎ 
خانة»‎ 64 


سلسلة IV‏ 
EAP‏ 
لا يوجد 


لا يوجد 


802.11 i 
CTR-CCMP 
خانة‎ 128 


ae _ ۷ 


غير لازمة 


CCM 
CCM 


سلسلة 1۷ 
EAP‏ 
لا يوجد 


لا يوجد 


nDOSA 
nESA 
خانة‎ 1286 


ae _ ۷ 


وظيفة خلط 


CRC _ 32 


nESA 


IV‏ معماة 


e541 رطرق‎ EAP 
nESA 


نعم 


إن استخدامَ معيار التحقّق من هوية المستخدم لمستوى المؤسسة (802.1X)‏ 
«وبروتوكول التحقق من الهوية الموسع» (EAP)‏ يقوي عملية التحقق من الهوية. 
إن مواصفة (WEP)‏ لا تمتلك تقنية للتحقق من هوية المستخدم. تَسْتَعْمِل 
مواصفةٌ «النفاذ المحمى لل (Wi-Fi‏ المعيارَ 802.17 وبروتوكول (EAP)‏ 


taga Gal أجل‎ ge عل قق‎ GL) Lene هذه الأدواث‎ [nts 
العمل هذا خادماً مركزياً للتحقق من الهوية» مثل‎ SU, المستخدم. يَستَخْدِمُ‎ 


(RADIUS)‏ وذلك للتحقق من هوية كل مستخدم على الشبكة قبل اتصاله بهاء 
ويوظفٌ أيضاً «التحقق المتبادل» لكي لا يتصل المستخدمٌ {SLU‏ عَرَضاً 


بشبكة خبيثة قد تسرق المعلومات المعتمدة لشبكته. 
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لقد طورت العديدُ من الشركاتٍ حلولاً لشبكات (WLAN)‏ خصيصاً 
للمؤسسات» بحيث تعالج العديد من الثغرات المتعلقة ب (802.116). تتطلب 
حاجات المؤسسة عادةً Be‏ مستويات من الدفاع. يجب على مدراء شبكة 
(WLAN)‏ في أي مؤسسة أن يمتلكوا مجموعة من البرمجيات التى تلبّى الحد 
الأدنى لمعيار هيكلية أمن المعلومات. ينبغى أن يتضمن الحل على الأقل ما 
يلي : 

= قحلن من الهوية Isles‏ ميخ المستخدميق akai‏ 

pS -‏ بالدخول إلى bla‏ النفاذ والموارد الموجودة على الشبكة 
السلكية. 

- تحكمٌ oe SL‏ على اللائحة. 

اال الترخيص للمستخدمين والأجهزة. 

- سرية الرسالة. 

- التحقق من هوية الرسالة. 

- الإدارة الديناميكية لمفتاح التعمية. 

- عزل حركة المرور اللاسلكية عن شبكة (LAN)‏ السلكية. 

- بروتوكول تعمية (التشفير) عالي المستوى. 


إن «الجدار اللاسلكى» المطور من قبل شركة Cranite System Inc.‏ هو حل 
كار للقي اللاسلكة للمؤسسات (WLAN)‏ فالجدار اللاسلكى P‏ هو 
de pares‏ هن Glee pl‏ الت Ls‏ .مع خالة dell‏ «اللمففوكة fol Mia‏ ميت 
لإدارة وأمن الشبكات اللاسلكية التي تسمح بأكبر حرية ممكنه لحركة 
المستخدمين. يعمل «الجدار اللاسلكي» على نحو متبادل مع تطبيقات الحماية 
والإدارة والسياسة الموجودة» ويزود دعماً كبيراً لمجموعة متنوعة من الأجهزة 
اللاسلكية. 


<http://www.cranite.com/pdf/whitpapers/wirelesswall-tech-op.pdf> . (2) 
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إجراءات المتابعة 


ينبغي أن تشتمل سياسات أمن المعلومات للمنظمة على تقييم وتفتيش دائمين 
لهذا الأمن» وهذه هي الطريقة المثلى لقياس نجاح خطة أمن شبكة (WLAN)‏ 
تعد عملية التقييم حجر الأساس في تحديد الحالة الراهنة لأمن المعلومات» 
وذلك من خلال تقييم البنية مقارنة بالممارساتٍ الأفضل ومعايير الصناعة 
المعترفٍ بها 

إن عملية التقييم هي Bal‏ إدارية ممتازةٌ تحددُ DW‏ الضعف ونقاط القوة في 
أمن المعلومات. تستخدمُ Gs‏ التقييم بعد ذلك للسماح للإدارة بترتيب أولويات 
الموارد والجهود من أجل المستقبل. إن عملية التقييم أساسية gari‏ وضعية 
أمن شيكات (WLAN)‏ وتحديدٍ الإجراء الإصلاحي اللازم للتأكد من eo‏ آمنة. 
أما التفتيشٌ فيراقب الضوابط الحاكمة للشبكة اللاسلكية (WLAN)‏ تبعاً لما هو 
مذكور فى الوثائق. يقوم المدققون بتفخص الوثائق» Og pris‏ اي 
ا ويبحثونَ في الاتجاهات المستقبلية لتقرير ما يُفترض أن تقوم به 
خطط الأمن. إذا OF de‏ الضوابط المكتوبة هي نفسها في التطبيق» فإن التدقيق 
يبشر خيراً. 

eel OB BLS Wey المكتورة‎ OLS فجوة بين‎ She إذا كانت‎ Ul 
يعتبر غير مرض. إنه أمر مهم للشركات أن تقوم بعمليات تفتيش منتظمة‎ 
ا الشبكة اللاسلكية وأدوات أخرى. إن المحلل وهو ما يدعى‎ EE 
أحياناً ب «المكتشف أو المشمشم» هو أداة فعالة لإدارة عملية التفتيش على أمن‎ 
. (Karygiannis and Owens, 2002) المعلومات وإصلاح خلل الشبكة اللاسلكية‎ 
ا ]ذا كانت‎ dade الشيكة‎ Ue الأمن أو مفتشوه‎ tyke قد يَسْتَخْدِمُ‎ 
cl all 'اللاملكية الماك تفيل إشاراتها بشكلٍ صحيح وعلى‎ ol 
دوزي داخل بناء‎ nce [pers الراديوية الصحيحة. يتوجب على المدراء أن‎ 
Se النفاذ الخبيثة طرق النفاذ المحظور‎ bus الشركة وفي حَرَّمِها‎ 

قد تفكرُ الوكالاتُ الحكومية أيضاً باستخدام طرف ثالثِ مستقلٍ لإدارة 
عمليات تفتيش أمن المعلومات. إن مستشاري الطرف الثالث المستقل هم غالبا 
isl‏ عصرية بشأن الثغرات الأمنية» وهم مدربون بشكل أفضل Lad‏ يخص حلول 
أمن cole shed!‏ ومجهزون بما يلزم لتفحص حماية الشبكة اللاسلكية وتقييمها. 
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سيساعد التفتيش من قبل الطرف الثالث المستقل» الذي قد يتضمن اختبار اختراق 
الوكالة» فى التأكد من أن شبكة (WLAN)‏ خاضعة لإجراءات وسياسات الأمن 
المعتمدة» pla Oly‏ متطورٌ بشكل يتلاءم مع تحسينات وتحديثات ورقع 
البرمجيات الأخيرة. 


استنتاجات 


إن كل من الأجهزة اللاسلكية» وشبكات (WLAN)‏ والثغرات هى هنا 
لل تطريقات جد Lethe ASB Ast‏ اة SLAW‏ وت غير 
السوق. سيتزايدٌ الطلبُ على شبكات (WLAN)‏ في السنوات المقبلة» مع 
جهودنا في جعل جميع هذه الأجهزة الجديدة تعمل بسهولة تامة لخدمة 
المؤسسات. وكلما كانت المنظمات أسرع في تعميم التحديات المتعلقة بشبكات 
(WLANs)‏ كان أمنها أقوى. إن Lee‏ من الثغرات والتهديدات هى نفسها لدى 
الجميع OY‏ البائعين ona ks‏ ا Baie) Slee al Guts:‏ 
الأمن» فالمشكلات التاريخية والموثقة جيداً هى نفسها من Slee‏ إلى جهاز» 
رعو al‏ جيك Were’‏ رالات aS y‏ یك SLI‏ مک (WLAN)‏ الاد 
لعدم خبرتهم بها. 


تخطيط تقادم البيانات وإدارته 


ستواجه المنظماث التي تمتلك أو تستخدمٌ قواعد GULL,‏ ضخمة 
ومستودعات معلومات» نفقة كبيرةً فى الثلاث إلى السنوات العشر المقبلة نظرا 
إلى أن بيانات التعاملات التجارية السابقة قد أصبحت قديمة وتقتضى التقاعد 
بعيداً عن التداول اليومي أو عن أنظمة الإنتاج. E EEE‏ سرعة 
تولد المعلومات الجديدة ‏ وبالرغم من تقنيات تخزين المعلومات الجديدة 
اللافتة للنظر التى تبدو أنها تستحدث كميات غير محددة من السعة ‏ فمن 
المبطق :قن aw‏ نا امن الود اذ تزاح المعلومات التي عمرها خمس» أو 10 أو 
0 سنة باعتبار أن قيمتها منخفضة. 

من وجهة نظر أمن المعلومات» Ya‏ المعلوماتٌ التي تُزاح أو تُزال من 
منظومة الشبكة» احتمال النفاذ المحظور لمعلومات تلك المنظومة» ولكنها 
تخلق فرصاً جديدة للسرقة» أو الضياع» أو الأذى ولكن بطرقٍ أخرى. إن ابتداعَ 
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عملية رسمية مع إجراءات عديدة لتأكيد أمن المعلومات» بما في ذلك نظام 
رقابة وتفتيش هي عناصر هامة لضمان أمن المعلومات. 


على سبيل المثال» إن المعلومات التى تكون فى حيازة البنك حول 
عات الاسم e‏ سيت وه رن SU tel ae IP‏ ذا يعدا 
عن الموقع في مكان آمن. وإذا اقتضت الحاجة إليها - ربما في تحقيقات ضريبة 
أو دعوى قضائية - فسيكون من الممكن استرجاعها واستعمالهاء ولكن ربما لن 
يكون هذا ممكناً إذا كان خزنها غير مدروس. 

فمثلاًء إذا ضاع فهرس الملفات الرئيسي أو 5S‏ فإن البنك قد لا يعلم 
أين يبحث عن الملف في الأرشيف. أو لنفترض أن الفهرسٌ صالحٌ للاستعمال 
إلا أن وسائط التخزين» مثل الشريط المغناطيسي أو (CD-ROM)‏ أو القرص 
المغناطيسي» التي تختوي غلى الملف قد أزيلت من مرفق التخزين: > أسواً 
من ذلك» من المحتمل أن يكون الملف قد نسخ من قبل مستخدمين غير 
مخولين بذلك» ومن ثم أعيد إلى مرفق التخزين بدون أن يلاحظ ذلك أحد. 
لقد ls‏ المخاطرٌ )13 من نظام الإنتاج إلى نظام الأرشيف. 

كذلك» ماذا عن بنى الملمَاتِ البرمجية أو المادية التي تتغير مع التقدم 
السريع للتطورات التقنية؟ ففي عام 1980» كانت سعة خزن الشريط المغناطيسي 
عالي الكثافة 6250 SE‏ في كل أينش من طول الشريط. OJAS‏ اليو الأشرطة 
المغناطيسية المخصصة لحفظ البيانات 100 مرّة تلك الكثافة» dary‏ سنواتٍ قليلة 
جاور J!‏ 1000 ج حل يمكق UL! sale!‏ الى ر نن علق ayy‏ 6250 
tg de Ley gle dale gw Wey‏ ولكن laity‏ بک QB‏ على ا 
التي cles‏ هذا التحويل. إذ تستبدّل WE‏ تجهيزات الحاسوب المتقادمة تقنيا 
بأنظمة جديدة لا تتوافق مع أنواع وسائط التخزين والبنى البرمجية القديمة. قد 
يكون تحويل القليل من الأشرطة أو الملفات ممكناء عن طريق التعاقد مع 
شركة يستعان بها فى ذلك» ولكن ماذا لو كنت تمتلك 50,000 شريط أو قرص 
ليزري CD-ROM)‏ ماذا لو أنك لم تعرف GT‏ منها يحتوي البيانات التي 
تبحث عنها؟ فيما يتعلق بالشركة الضخمة جدا التي تمتلك العديد من «التيرا 
بايت» من المعلومات القديمة» فإن التكلفة قد تتجاوز مئات ألوف الدولارات 
لتحديث فهارس التخزين» وتحديث الأشرطة» «(CD-ROM)»‏ وأجهزة ذاكرة 
(USB)‏ بشكل مستمر لضمان الملاءمة مع البنى والأجهزة الحديثة. 
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هناك عدد من المفاهيم الواجب استحضارها في الذهن دائماً عند التعامل 
مع أمن المعلومات المتقادمة: 

Soe .1‏ «أعماراً « أو «حياةً» لاستخدام المعلومات» aby‏ بحفظ (أرشفة) 
المعلومات غير الضرورية jr‏ دوري. 

2. استخدم نظاماً منطقياً لفهرس المحفوظات (الأرشيف) لجميع الملفات 
CANO Dye Sad‏ ار متجموعة ola‏ ك لو نقد Spe‏ 
الرئيسي أو خرب 

3. اضمن أن لا يقوم نفس الأشخاص بعمليات النسخ» والفهرسة» 
والحفظ» وال يل عده هافن تحمل كل واد مني Jee‏ 
الاخر. 

4. قم بتأدية مراقبة عملية حفظ المعلومات المتقادمة والتفتيش عليها من 
خلال تجربة إمكانية استعادة البيانات المحفوظة (المؤرشفة) إلى بنى 
وأجهزة جديدة. 

5. اضمن أمن مواقع المحفوظات البعيدة عن نظام الإنتاج - استخدم 
موقعين اثنين على الأقل لضمان احتمال المحافظة على المعلومات - 
من خلال اختبارات وتدقيقات من قبل طرف ثالث. 

6. عند تحديث التجهيزات الحاسوبية (شريط مغناطيسى أو قرص 
ا اون دعيو ال سنن" لعي aes Ue ese War‏ لان تعاض 
dpe) LL fle CS‏ الارن tte‏ معلوماة 
المحفوظات القديمة. 

تخطيط وإدارة بروتوكولات البيانات الاحتياطية واسترجاعها 

بينما يبدو الأمرُ بسيطاً من حيث الفكرة» إلا أن bir‏ وصيانة كمياتِ 

كبيرة من المعلومات كنسخة احتياطية كل يوم ASN‏ من خمسة غيغا بايت 
(ey‏ يتطلب بروتوكولات تكرار وعملية مهمة لضمان قدرة الأنظمة على 
العمل عند وقوع حوادث غير متوقعة. إن عمليات استعادة المعلومات ضرورية 
عندما تصاب تجهيزات الحاسوب بخلل كهربائي أو ميكانيكي خطير»ء أو حينما 
تقع حوادث بيئية (مثل حادث انفجار أنابيب مياه إطفاء الحريق مغرقة بذلك 
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غرف Copubell‏ أن a BF Lette‏ ال واه 


إن be‏ نسخة احتياطية عن معلوماتٍ نظام يعمل (24x7)‏ بدونَ توقفٍ 
يجب أن يُدرج ضمن خطة EG‏ بالاعتبار أنَّ بعضاً من البيانات لا يمكنُ حفظها 
تي | eee‏ ام ا البيانات: العلائقية به التي > a asi eee‏ 
eee‏ في إنتاجية RE‏ ورضا الزبون. 


aS‏ دسا tes‏ المقاودات التي tek ped‏ هل 
الذي يقتضي الاسترجاع ملف واحدّء أو سواقة قر ص واحدة» أو نظام واحد» 
أو أن As‏ شيء يستدعى ذلك؟ هل تغطي فترةٌ TERN‏ توما Gh lasts‏ 
أسبوعاً أو شهراً؟ أو أكثر؟ هل من الضروري جلب أشرطة أو أقراص حفظ 
البيانات إلى غرفة الحاسوب» أو أنها موجودة داخل الغرفة؟ هل هناك من 
يعلم أين حفظت الملفات الاحتياطية» وما هي تلك الملفات» وعلى GI‏ من 
وسائل التخزين؟ 
يصبح موضوعٌ حفظ البيانات واسترجاعها موضعٌ اهتمام الإدارة بعد 
تمويلها ميزانيات ضخمة لتقنية المعلومات ولعدة سنوات» أو عندما لم يعد 
ممكناً استرجاع البيانات بسبب أعطال في الأجهزة» أو عندما تُفْقَدُ أو pans‏ 
بعض الملفات أو البيانات من وسائط تخزين المعلومات الاحتياطية أو 
المحفوظات. أو عند إخفاق الأعمال التجارية. من وجهة نظر أمن المعلومات 
إن عدم القدرة على استعادة المعلومات عند الحاجة إليها ‏ مهما كان السبب - 
يضع المنظمة موضع خطر كبير نظراً إلى الأثر المالي أو فشل العمل. 
ما الذي يتوجب فعله لتقليل مخاطر فقدان البيانات وأثارها في العمل بسبب 
رداءة عمليتي الاسترجاع وحفظ البيانات؟ من الممكن إتباع طرق عديدة منها 
pastel .1‏ قاعدة النسبتين المئويتين )20 80( كي ass‏ ما الذي يتوجب 
حفظه يومياً (أو في كل ساعة) وما الذي ots‏ الانتظار فترة أطول. 
2. اختبز أنظمة الأشرطة المغناطيسية والأقراص الليزرية أسبوعياً لاكتشاف 
ol‏ أعطال أو أي وثوقية غير نظامية. 
3. اختبر Js‏ نسخ البيانات المحفوظة على أنظمة قراءة مختلفة لضمان 
إمكانية قراءتها في أي نظام» وليس فقط النظام الذي كتب الملفات. 
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4 ضع لصاقة واضحة على كل وسيلة تخزين» مستخدمة لحفظ البيانات» 
مع فهرس بأسماء الملف وأنواعه. 


5 احفظ جميع وسائل التخزين المستخدمة لحفظ البيانات في مكان آمن 
ومحمى» بعيداً عن التحريف» أو السرقة أو التلف العرضى. 


6. حضر نسخا عديدة من الفهارس» واحفظها في أماكن أو خزائن مختلفة 


امنة. 


7. اجعل صانعي الأجهزة يتحققون كل ستة أشهر من أن معداتهم تعمل› 
ووسائط التخزين تستخدم بشكل صحيح» Oly‏ عمليات الاستعادة ناجحة. 

8. من وجهة نظر أمن المعلومات» اضمن أن عمليات النظام لن BLE‏ 
بسبب فقدان البيانات أو فقدان سعة المعالجة الناتجة من اعتداءات أو 
انتهاكات أمنية. 


استخدام المؤثرات البيولوجية 


يشير قياس المؤثرات البيولوجية إلى التقنيات التي تميز أعضاء الجسم 
البشري وتتحقق منها أو من خصائصها أو عملها. تتضمن هذه التقنيات قارئات 
بصمة الإصبع› وفاحصات الوجه» والفاحصات الشبكية». وقارئات بصمة 
الصوت» والتوقيع. تعمل هذه التقنيات على مقارنة النموذج الرقمي المزوّد من 
قبل المستخدم والتحقق منه أوتوماتيكيا مقارنة بقاعدة بيانات الهويات 
«المعروفة». إذا كان هناك تطابقٌء OL‏ المستخدم يُعترف به Coy‏ هويته»» أما 
إذا لم يكن هناك تطابقٌ» فإن النظام يحفظ المعلومات الرقمية من أجل المعالجة 
الإضافية لتحديد من هو ذلك المستخدم. 

لقد كانت تقنية استخدام المؤثرات البيولوجية في حافة القبول لسنوات 
عديدة» إلا أن التكاليف المرتفعة والتساؤلات حول وثوقيتها قد قيّدت انتشارها 
bies‏ على نطاق واسع. أثناء السنوات الخمس الأخيرة تمّت معالجة هذه 
المواضيع من خلال التحسينات التقنية للايجابيات الخاطئة (تمييز شخص على 
أنه شخص آخر خطأ)» وعمليات الرفض الخاطئة (رفض الشخص الصحيح 
(Us‏ وبالتالي أصبحت هذه التقنية الآن تتمتع بنسبة نجاح مقبولة تساوي 
9 المطلوبة من أجل التطبيق التجاري. 
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tly ae i ele bs‏ عو" EE‏ الاق اناه 
باعتبارها تتحققٌ من أمر تقوم به أو من أمر هو جزءٌ منك. على سبيل المثال» 
إن توقيعك وطريقة ضربك على الحاسوب هو أمرٌ تقوم به» LI‏ بصمة إصبعك 
أو معالم وجهك أو صوتك أو شبكية عينك» فهي جزء منك. إن أجهزة 
التحقق من المؤشرات البيولوجية أفضل بكثير في حماية الدخول من كلمات 
المرور أو الوسائل الفيزيائية مثل المفاتيح والإشارات لكونها أكثر صعوبة في 
السرقة أو المشاركة. 

تعطي التقنيات البيولوجية» عندما ae‏ مع طرق Ba‏ أخرى» حماية 
قويةً من الدخول المحظور إلى المعلومات والأنظمة والشبكات. 

يصنف dole‏ قياس ee‏ البيولوجية إلى أربعة مجالات: 

2. التفرد: يجب أن لا يملك شخص آخر الميزة ذاتها. 

3. الاستمرار: يجب أن تكون الميزة ثابتة عبر الوقت. 

4. قابلية القياس: يجب أن تكون الميزة قابلة للقياس كميا 

يتفحص مزودو النظام» عند انتقاء الطريقة البيولوجية للتحقق من الهوية» 
أداء الجهاز che pol)‏ والدقة» والوثوقية) ومدى حيازته لقبول المستخدمين (هل 


هو dg‏ أو خطير أو مهين) alls‏ الممكنة عليه (إلى أي درجة يستطيع 
المستخدمون خداع النظام). بغض النظر عن نوع الجهاز» فإن عملية التثبت من 
الهوية تعمل بنفس الطريقة وهي: 

سحل وقد من rs vera‏ الور NPR ey E N CONS‏ من 
e‏ في «المطابقة» لاحقاً. عندما CS»‏ المستخدم بالدخول إلى النظام 
ike cS‏ جديدة - مثل بصمة الإصبع ‏ وتقارن بالعينة السابقة» إذا تطابقت 
يُسمح للمستخدم بالدخول» وإذا لم يحصل التطابق فإنه قد يُسأل سؤالاً 
صعباًء أو قد يُطلب منه تقديم عيّنة أخرى للتحقق من هويتهء إذا فشل 
التطابق الثاني يمنع من الدخول. 

أين ينبغي استخدام التقنية البيولوجية؟ بالرغم من أنها قد تستخدم أينما 
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cols‏ إلا أن أكثرَ الأماكن Bb‏ بالنسبة إلى التكلفة هى حيث يجب التثبت من 
هوية المستخدم بشكل جازم. من الأمثلة: صرف الصيدلي لوصفة طبية حساسة» 
أو التاجر المالي E‏ لنقل ملايين الدولارات في التجارة كل “pe‏ أو 
الأشخاص ذوو الحاجة إلى التحقق من التصاريح الأمنية» أو السجناء المدانون 
الذين قد يملكون اسماً أو مظهراً مرئياً مشابهاً لشخص ST‏ لمنعهم من مغادرة 
السجن بدلا منهم. 

LI‏ في عالم تقنية المعلومات فتتضمن تطبيقات الآمن النموذجية التحكم 
في الدخول إلى منشآت وغرف الحاسوب» والنفاذ إلى أنظمة الحاسوب 
وشبكاته» وكطريقة لكتابة الاسم والتوقيع للمستخدمين الذين يستخدمون أنظمة 
متعددة مع طريقة واحدة للتثبت من الهوية. 


البطاقات الذكية 


إن البطاقات الذكية هي أجهزة نفاذ بحجم بطاقة الائتمان» وتستخدم كأداة 
ذاكرة ALU‏ للحمل والمحى» وهى معروفة بأسماء مختلفة. يمكن استعمال 
الإطافة aay ST LIS pe ESI‏ ا و Ay‏ مسري GLa‏ 
الذكية على خوارزميات تعمية» أو صفات مميزة بيولوجية» أو سيرة الشخص 
الصحية» أو عمليات الشراء السابقة cad‏ أو معلومات أخرى تعرّرٌ أمكانية 
المستخدم في النفاذ إلى المعلومات بطريقة مريحة وآمنة (بدلاً من حمل 
حاسوب شخصي صغير مثلا). من الممكن إعادةٌ برمجة البطاقات الذكية أثناء 
استخدامها بحيثُ OSE‏ فيها رمورٌ مشفرةٌ جديدةٌ في كلّ مرة ported‏ فيهاء 
وهذا يزيد فعلياً من صعوبة استعمالها بشكل غير نظامي. 

يكمنٌ السببٌ وراء أهمية هذه البطاقات في أنها تزيد الخيارات التي 
تمتلكها الإدارة في ترقية النفاذ إلى النظام من كلمات JI‏ فقط إلى مجموعة 
من التقنيات ومن رموز Lye sued‏ المستخدم. فالبطاقات (ere LSM)‏ 
(حوالى 5 إلى 20 دولاراً)» وهي gh poe wildy cheng‏ بيا قد يستلزم 
الانتقال من نظام كلمة السّر فقط إلى نظام معزز بيولوجياً استثماراً قدره 250 
دولاراً إلى 500 دولار لكل محطة عمل. إن الترقية إلى نظام البطاقة الذكية 
أرخصٌ بكثير» ولكنه بالطبع لا يقدمٌ المزايا التي تقدمها البيولوجيا. 
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فحص نظام امن المعلومات 

ks‏ إلى م هذا للحن ee Ubu‏ ارام أو : سَبْرُ الاستجابة». إن 
يجب أن تكون جاهزة هي Sab‏ جاهزة. om‏ قحس نظام أمن المعلومات هل 
نظام التشغيل. يُؤْدَّى هذا Jamill‏ لارام د ee‏ 
أمن معلوماتٍ متخصصة لتجنب التأثير الإداري أو السياسي ء غير الضروري. تجرى 
هذه الفحوصات فى حالة أنظمة المعلومات التى تتطلب سرية عالية» وتجرى على 
أساس عشوائي ولكن مستمر للتثبت من استعمال آخر رُقَع البرمجيات» وإغلاق 
بوابات جدار النار غير اللازمة» وتقادم كلمة السّر» وتفاصيل أخرى. 

يجب على إدارة أمن تقنية المعلومات في المؤسسة أن تخطط للقيام 
بعمليات فحص روتينية لضمان أن نشاطات النظام التشغيلية لم GES‏ فرصاً أو 
افتضاحات للنفاذ» فالقراصنة والمخترقون يبنون العديد من اعتداءاتهم على 
«افتراضات» يفترضها مديرو أمن المعلومات مثل: أن رقع البرمجيات قد 
نُصِبَتْء وأن أجهزة المودم غير المستخدمة قد أزيلت» وأن كلمات سر 
الموظفين الذين تركوا المؤسسة قد حذفت. 

Bis ha’‏ الفحص في ثلاث فئات : «عالية» أو المتوسطة» أو «منخفضة» 
Stl as‏ النتيجة. يستجاب إلى النتائج العالية Bites jess‏ أما النتائج 
Cad a‏ إلبها Jods e SUK Las‏ النتائج المنخفضة 

See‏ أن تُتابعَ bY‏ العليا والمدراء التنفيذيونَ نتائج الفحص» وأن 
يلتمسوا التفاصيل حول ما تم القيام به للاستجابة إلى كل نتيجة من نتائج 
فحص أمن المعلومات. إن Old‏ المدراء بعقدِ اجتماعات شهرية هي طريقة 
JY‏ إتباعها لفهم ما يحدث (أو ما لا يحدث) ولماذا. ونظراً إلى وجود 
استثمار واضح لمال ولوقت الإدارة في die‏ هذه الاجتماعات» يجب أن 
تلان tyke‏ امتكيان: Segoe E ol‏ نوا wold aa‏ رلكق 
نظراً إلى الطبيعة المستمرة للاعتداءات على أمن المعلومات» وللتطور المستمر 
في طرق الاستجابة لها وصذهاء سيكون غريباً عدم تناول عدة بنود «عملية» 
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لمناقشتها في هذه الاجتماعات على المستويين الإداري والتقني للمنظمة. 


هيكل الممارسات الأفضل 


الممارسة الأفضل (AEM)‏ 
تحقق من أن كل الأنظمة قد رودت 
بأحدث ترقيعات برمجيات أمن 
المعلومات وأنها تعمل. 
تأكد من أن بنى أمن التطبيقات 
ونظام التشغيل على جميع الأنظمة 
العاملة لا تعدّل أو تُغيّر إلا من قبل 
مدراء النظام» وتحقق من ذلك 
تحقق من وجود سياسة التعامل 
مع البيانات المتقادمة وتأكد من 


ختبر جميع أنظمة حفظ البيانات 
واستعادتهاء وتأكدمنأن 
لممارسات المتعلقة باسترجاع 
لبيانات تعمل 

تأكد من استلام جميع تراخيص 
oly OLe‏ تكلفة الصحيح 
منها تدفع في وقتها. 

تحقق من أن عمليات التحكم بالنفاذ 
للنظام معقولة وأن تعريض أمن 
المعلومات للمخاطر قد تم تجنبه 





تأكد من أن نقاط النفاذ اللاسلكية 
تمتلك تعمية بمفتاح طوله 64 خانة 


على الأقل وأا قد وُضِعَت بعيداً عن 
الأماكن غير الآمنة 

عطل خيار بث Baa)‏ مجموعة 
الحدمة» (SSID)‏ من نقاط 


النفاذ اللاسلكية 

حدد ما إذا كان اعتماد طريقة النفاذ 
بالبطاقة الذكية أو بالمؤثرات 
البيولوجية مناسباً تبعاً لقيمة 
Le all‏ وعدد المستخدمين/ 
الزبائن الذي قد يتأثر. 








| 


لحساسية | التكرار 


عالية عند الحاجة 
عالية شهرياً 


عالية 


عالية شهرياً 


عالية 
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المشاركون 


أمن المعلومات» 
إدارة النظام 


أمن المعلومات» 
مدراء النظام 
الإدارة» أمن 

المعلومات 

أمن المعلومات» 
مدراء النظام 

الإدارة» المالية» 


مدراء النظام 


الإدارة» المالية» 
مدراء النظام 


أمن المعلومات» 
مدراء النظام 


الإدارة» المالية» 
مدراء النظام 


نتائج النشاط 
رقع برمجيات محدثة على 
at‏ الأنظمة بأسرع وقت 
کن 
إمكانية إدخال التغييرات 
مقصورة على المدراء فقط 


حفظ (أرشفة) البيانات 
حماية كافية. 
القدرة المؤكدة حفظ 
البيانات واستعادتها 


تراخيص البرمجيات 


الثقة في السماح بالنفاذ 
للشخص الصحيح وفقا 
للات 
تعرض أقل للاعتداء 
اللاسلكي والتفاذ 
syle‏ 


Gaia‏ أقل للاعتداء 
اللاسلكي وللنفاذ 
المحظور 
حدد إذا كان ينبغي 
تحديث طرق أمن 
المعلومات بسبب تغيير 
أوضاع الشركة 
































الملخص 

تستمرٌُ منتجاث تقنية أمن المعلوماتٍ بالازدياد من حيث التعقيدٍ والأداء 
والمقدرة وذلك تلبية لمتطلبات السوق. لقد أصبح ما تقوم به هذه المنتجات» 
على مدار 7/24» أمراً LL‏ فهي تمنع النفاذ غير المرخص» وتراقب 
النشاطات الاقتحامية مع إيجاد الدليل لدعم الادعاء» وتنقل عدة جيغا بايت من 
البيانات بشكل شبه فوري. إلا أن هذه الأنظمة هى مجرد أجهزة الكترونية» فهى 
طني Le leas bee‏ كنا انها Clb‏ اليف hey lates‏ كل 
شيء إنها بحاجة إلى إدارة موجهة. 

إن الحرب العنيفة القائمة بين المجموعات والأشخاص الذين يحاولون 
النفاذ إلى أنظمة وأصول المعلومات التي لا ينبغي لهم الوصول إليهاء 
والمنظمات التي تعمل بجد لإبقائهم le‏ هي معركة تكاد تكون مجهولة لدى 
المدراء التنفيذيين والإدارة العليا لانهماكهم بإدارة العديد من المسؤوليات 
الأخرى. ALS‏ الشركات الصغيرة في الولايات المتحذة عن 200 إلى 500 
اصطدام بجدران نارها كل ساعة من قبل محركاتٍ بحث اقتحامية غير محددة 
تسعى إلى إيجاد ثغرات فى جدار نارها للنفاذ من خلالها. من الصعب تصور 
وجود فغات GY‏ من SNe‏ البحث الاقتحامية كل يوم» والتي تتفاداها 
المنظمات الحكومية والمالية الضخمة بنجاح» ويعود ذلك إلى عدم الإعلان أو 
التنويه عن هذه العمليات في وسائل الإعلام العامة. 

يبدو واضحاً أن الجمع بين التقنية» والنظرة المنطقية» والاهتمام 
بالتفاصيل» قد خطا خطوات متقدمة نحو سد معظم الثغرات الكبرى في البنية 
التحتية لأمن المعلومات. إن الثغرات ستبقى ولكن جعل الثمرة أصغر من الجهد 
اللازم للحصول عليها يمنع القراصنة Sole‏ من إضاعة وقتهم في كسب القليل. 

سيحتاج SLS‏ المدراء والمدراء التنفيذيين في السنوات المقبلة إلى أن 
يصبحوا ASÍ‏ دراية بالمصطلحات والمفاهيم الأساسية لأمن المعلومات كي 
يدركوا بشكل أفضل دواعي دعمهم للاستثمارات المتزايدة في الأجهزة 
والموظفين. ووفقاً لخبراء في القانون وفي التقنية وفي الأعمال» سيبقى أمن 
الحاسوب جزءاً LL‏ في عمل أي منظمة لعقود قادمة. 
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الفصل السابع 


مواد ومواقع مرجعية 


تصريح مكتب التحقيقات الفيدرالي الأمريكي 
حول San i‏ امن المعلو مات 
تصريح جيمس أي. فرنان» نائب مساعد ا مدير» في قسم شبكات 
التلاعب ونحسين أمن ا معلومات» وذلك بتاريخ 3 نيسان» 2003. 
ai‏ هذا التصريح أمام جنة ا خدمات LIU)‏ التابعة للبيت الأ بيض » 
واللجنة Le ill‏ حول ا مؤسسات LIU)‏ وائتمان الملستهلك» وأمام 
جنة ا مراقبة والتحقيقات» فى واشنطن D.C.‏ 


(Farnan, 2003) 


«أشكركم لدعوتي هنا اليوم لأفيد حول موضوع «محاربة التلاعب: تحسين 
أمن المعلومات». إن die‏ هذه الجلسة» لسماع الشهادات» يثبت التزامكم 
بتحسين أمن أنظمة معلومات أمتنا ودعمّ هذه اللجنة للقضية في «الكونغرس». 
إن عملنا هنا fee‏ جداًء OV‏ المخاطر المتضمنة جسيمة. ستعالح شهادتي اليو 
باعتبارها تتعلق بطيف واسع من الأعمال الإجرامية المتعلقة بالغش وأمن 
المعلومات. يوجد اليوم أكثر من 180 مليون مستخدم للحاسوب في الولايات 
المتحدة وحدهاء كما يوجد أكثر من 600 مليون في أنحاء العالم» والعدد في 
ازدياد. إن العديد من هؤلاء المستخدمين يتصلون بالإنترنت» ويتواصلون مع 
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بعضهم ee Oy pry opel‏ ويكيرقررة على و Ad‏ وس عن 
المعلومات» ولسوء الحظ يرتكبون الجرائم. 
ثغرات شبکات الاتصال الالكتروني 

sg) مدرك‎ Oy Ss شكمن دى اعبات اساسا بال انت‎ El Oy 
ثغرات أمن الا على الأقل بمعناها العام» في شبكاتنا وحواسبينا.‎ 
في وسائل العامة وباستخدام بسيط للبحث‎ eels هذه الثغرات بشكلٍ‎ pals 
على الإنترنت» سطع لكل ا عاماً اكتشافٌ أدوات قرصنة مختلفة›‎ 
ومن ثم تحميلها واستعمالها. عندما رأينا في البداية الازدياد المفاجئ في‎ 
لم نقلق بشأن الاعتداءات على حواسب‎ le الحواسيب المنزلية في أوائل‎ 
ABS مذركين حتى. لوجوه‎ gee ll «الستخدمين غير‎ Gel أسزناء الم يكن‎ 
من إصابة أنظمتنا بالفيروسات» والديدان وأحصنة‎ ops) الأمنية. إننا نقلق‎ 
طروادة. تقوم الشركات بحماية المواقع والصفحات الالكترونية من الاعتداءات‎ 
وعمليات التشويه. إن المستهلكين قلقون أن لا تكون الشركات محافظة على‎ 
حماية كافية لمعلوماتنا المالية والشخصية» إذ نسمع تقارير إخبارية أسبوعية‎ 
حول القراصنة واقتحامات جديدة.‎ 

تعتمد الشركاث والمستهلكون الأمريكيون بشكل متزايد على الإنترنت لعقد 
صفقاتهم» فالتجارة الالكترونية تنمو في جميع قطاعات اقتصاد الولايات 
المتحدة. إن CLE‏ صفقات التجارة الالكترونية هى من شركة إلى شركة» ولكن 
ياتا الجر للتجارة الالكتوونية Coley‏ إلى 46 بليون دولار ف عام 
2م. وأكثر من 36 بليون دولار في عام 2001م. عندما يتوقف عمل 
مستخدمى الإنترنت - سواء أكانوا شركات أو مستهلكين ‏ بسبب أعمال الغش 
أو التزوير على الإنترنت» OB‏ نجاح التجارة الالكترونية مهدد بالإخفاق. 

إن اختراقات الحاسوب فئة مختلفة عن أغلب أعمال الغش أو التزويده 
فالعديد من الانتهاكات لا يتم الإبلاغ عنهاء OY‏ الشركات تخشى خسارة 
التجارة بسبب فقدانٍ ثقة المستهلكِ في إجراءات أمن المعلوماتٍ لديهاء أو 
بسبب الخوف من الادعاءات القضائية. إن أغلبَ قضايا انتهاكات أمن المعلومات 
ppl by pte‏ سي LAM tes‏ ترق oll By yall AA‏ وق الها قارف 
الرقع. قد تتيسر سرقة معلومات المستهلك من نظام الحاسوب بطريقتين: 
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بوساطة المطلعين العاملين من داخل المؤسسة أو من قبل القراصنة الغرباء. 
يمتلك المطلعون دوافع مختلفة» بما في ذلك المكسب أو المالء أما الغرباء 
فيدفعهم عادة التحدي و/أو الطمع. 


أصدر مجلس البحث الوطني بياناً في عام 2001م بعنوان «أمن شبكات 
الاتصال الالكتروني اليوم وغداً: ادفع الآن أو ادفع لاحقاً». إذا لم تطلعوا على 
هذا البيان فإني أحثكم على اقتناء نسخة منه. يصوغ البيان مجموعة من النقاط 
الهامة» والملاحظات العامة» بما فى ذلك نقطة جوهرية من أجل هذه الجلسة: 

basi ths Joan على‎ 1a :نقد رة‎ gaze! أن‎ Lal BAN» 
مصادفة في النظام» فتصميمُ النظام و/أو التطبيق الرديء قد يؤدي إلى مشاكل‎ 
عمداً فى محاولة‎ Jagas أو زنهنا‎ G أمن معلومات خطيرة» ربما تكون‎ 
اختراق من قبل المعتدي».‎ 

إذا كانت حمايةٌ النظام غير ABS‏ واختار شخص ما استغلال نقاط 
الضعف. فإن العواقب ستكون حتمية. ووفقا لهذا البيان توجد ثلاثة أشياء قد 
تحبط نظام الحاسوب أو الشبكة : 

1. قد يصبح غير جاهز أو بطيئاً جداًء أي أن استخدام النظام أو الشبكة 

2. قد يصبح محرفاً ويقوم بالشيء الخاطئ أو يعطي إجابات خاطئة. على 
سبيل المثال: قد تصبح البيانات المخزنة على الحاسوب مختلفة Le‏ يجب أن 
تكون» وهذا مشابه ULI‏ تعديل السجلات المالية أو الطبية الورقية بشكل غير 
ملائم. 

3. قد يصبح راشحاً. أي أن الشخص الذي لا ينبغي له الوصول إلى بعض 
أو جميع المعلومات المتوفرة على الشبكة يصبح قادراً على ذلك. 

عندما تحدث واحدة من هذه الأشياء» فإن مكتب التحقيقات الفدرالى هو 
الجهة المعنية بالاستجابة» لأنها الوكالة الفيدرالية الوحيدة التى تمتلك السلطة 
المضادة» والموارد اللازمة لإبطال الأعمال الإجرامية» والحد من العمليات غير 
القانونية التي تستهدف الحاسوب. 
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قسم شبكات الاتصال الالكتروني في مكتب التحقيقات الفدرالي (FBI)‏ 


تتضمن إعادة تنظيم مكتب التحقيقات الفدرالي للسنتين الأخيرتين هدف 
جعل الموارد الاستخباراتية لشبكات اتصالنا الالكتروني أكثر فعالية. في عام 
2م ادت إعادة التنظيم إلى تأسيس قسم شبكات SLAY‏ الالكتروني في 
المكتب. 


ky‏ قسمٌ شبكات الاتصال الالكتروني تهديدات شبكات هذا الاتصال 
معالجة منسقة Lele‏ للمكتب بالبقاء» من النواحي التقنية» متقدماً خطوة على 
خصوم شبكات الاتصال الالكتروني ومهدديها. يتعامل قسم شبكات الاتصال 
الالكتروني مع جميع انتهاكات الاتصال الالكتروني التي لها WE‏ تبعات عالمية 
وانعكاسات اقتصادية وطنية. يدعم هذا القسم أيضاً أولويات المكتب في إطار 
برنامجه فى محاربة الارهاب» والاستخبارات المضادة» والتحقيقات الإجرامية 
الأخرى BLY! O55 Laue‏ الانتخارية Ages Haylee Quill‏ الب Ob‏ رر 
لديه خبراءٌ ذوو مهارات تقنية متخصصة يركزون على القضايا المرتبطة بشبكات 
الاتصال الالكتروني. 


إننا نتناول في قسم شبكات الاتصال الالكتروني منهجية Wye‏ من اتجاهين 
للمشكلة. يتعامل الاتجاه الأول مع النشاط الإجرامي التقليدي الذي انتقل إلى 
الإنترنت» مثل الغش أو التزوير على الإنترنت» وسرقة الهوية على الخطء 
والكتابات أو الصور الإباحية عن الأطفال على الإنترنت» وسرقة أسرار 
التجارة» والجرائم المشابهة أخرى. يتعامل الاتجاه الآخر غير التقليدي مع 
الأنشظة الجديدة التي أتاختها CS YI‏ و لم تكن مؤجودة قبل تأسيس 
الحواسيب والشبكات والإنترنت. يشمل هذا الاتجاه إرهاب «شبكات الاتصال 
الالكترونى»» والتهديدات الإرهابية» وعمليات الاستخبارات الخارجية والنشاط 
alla‏ امكل اكات oped‏ قير اقا ا دال opie oie‏ 
Ba OLY Gl‏ حاتت ذلك تعظيل Slee‏ الراضمة pula‏ وسرقة 
ayn es ANG Ceti‏ اكب اتاو ele Sais‏ 
الاتصال الالكتروني بسرعة» نظراً إلى أن عدد الفاعلين القادرين على استخدام 
الحواسيب لأغراض غير قانونية مضرة ومدمرة هو في ازدياد. 
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لإتمام مهمته» سيشكل قسم شبكات الاتصال الالكتروني تحالفات بين 
القطاعين العام والخاص معززة بالتدريب والتعليم ليزيد من قدرات الاستجابة 
لمهددات شبكات الاتصال الالكتروني أي : محاربة الإرهاب» والاستخبارات 
المضادة» وتطبيق القانون. سيزيد المكتب كذلك من نجاح تحقيقات شبكات 
الاتصال الالكتروني من خلال زيادة الوعي واستغلال التقنية الجديدة. 

إننا نضاعف جهودنا الاستخباراتية العالمية وبرامج تدريبنا على شبكات 
الاتصال الالكتروني لدعم هذه المهمة. وبالنتيجة فقد تم الآن خلق وحدات 
مخصصة في المركز الرئيسي للمكتب لتقدم تدريباً ليس فقط لفرق شبكات 
الاتصال الالكتروني للمكتب وحسب» وإنما Lal‏ للوكالات الأخرى المشاركة 
فى الحملات الجديدة أو المرتبطة بهذه الشبكات التى يكون المكتب عضواً 
مشاركاً تا oat‏ وا EN A ca‏ فى المجال وستَدَرّس 
مجموعةٌ من المواد في أكاديمية المكتب في كوانتيكو. 

ترفع القضايا إلى المكتب من خلال مركز الادعاء ضد التلاعب عبر 
الإنترنت «Internet Fraud Complaint Center (IFCC)‏ الذي éi‏ فى عامه 
الرابع Lali‏ قلي أنه دان lah‏ :اسح GRE 35 E ale‏ في 
عام 2002م بشأن جرائم تتراوح من سرقة الهوية وانتهاكات الحاسوب إلى إباحية 
ضد الأطفال. 

إذا تلقى مركز AFCO)‏ تقريراً بشأن اقتحام ما من شركة في بيرمينغهام - 
LLI‏ مثلاً فإننا سنحاول Yaf‏ تعيين مكان حدوث الانتهاك. قد تكون الخدمات 
الحاسوبية oid‏ الشركة في منيبوليس» بينما يوجه المعتدي الهجمات من خلال 
مزودي الإنترنت في كاليفورنيا وأوروبا. إذا جرت قرصنة المخدّمات في 
pees‏ ليس انان كو ee‏ لمر كو بو متيو لعي لكريم لكات Ce I‏ 
الالكتروني سيكلف بقيادة القضية. قد تبدأ خيوط القضية في كاليفورنياء ولكنها 
تنتهي في أوروبا الشرقيةء أو نيجيرياء أو تعود إلى بيرمينغهام إذا كان أحد 
المعنيين موظفاً من داخل الشركة. سيْطْلَبُ فريق من da‏ الاستجابة للتحليل 
الحاسوبي التابع للمكتب Computer Analysis Response Team (CART)‏ لإيجاد 
الأدلة القضائية للحاسوب. وقد يُوْسَل هذا الدليل إلى واحد من مختبراتنا 
الإقليمية الجديدة القائمة الآن في شيكاغو أو دالاس أو سان دييغو. سيحدد 
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المختبر مدى الانتهاك ومدتهء وما إذا كان المعتدي ينطلق من داخل أو خارج 
as a‏ قن تخل UL‏ فى coll ee‏ أو نقد Sto Leg ely Boe JEG‏ 
المعتدي. تكون القضايا معقدةً بشكل دوري وتتضمن WE‏ اتصالات عالمية. 

تفيدٌ القضايا التالية كأمثلة على الجرائم النموذجية لشبكة الاتصال 
الالكتروني: 


ریم وند تورب 8 4 المعروف ب «روليكس) : 
إن ريموند توريسيلي» المعروف ب «روليكس)» قائد فريق القراصنة 


المعروف ب Conflict?‏ قد أدين بسبب اقتحام حاسوبين» بين أشياء 
أخرى» مقتنين ومصانين من قبل «مختبر الدفع النفاث» التابع للهيئة الوطنية 
لإدارة أبحاث الملاحة الجوية والفضاء الموجود فى باسديناء كاليفورنياء 
مكرّسةٍ للقرصنة. 

لقد اعترف توريسيلي أنه كان في 1998م قرصانَ حاسوب» وعضواً في 
منظمة القرصنة المعروفة ب Conflict)‏ أقر توريسيلي بأنه كان يستخدم 
حاسوبه الشخصي لتشغيل برامج مصممة للبحث في الإنترنت وللتحري عن 
الحواسيب القابلة للاعتداء. حالما يتم تعيين أمكنة مثل هذه الحواسيب» 
يحصل حاسوب توريسيلي على النفاذ غير القانوني إلى الحواسيب بواسطة 
تحميل برنامج معروف ب «رووت کیت» Rootkit‏ . إن ملف «روووت (ous‏ هو 
برنامج يسمح للقرصان عندما يشغل الحاسوب بإحراز النفاذ الكامل إلى جميع 
وظائف الحاسوب بدون أن يقوم المستخدمون المخولون لذلك الحاسوب بمنح 
هذه الامتيازات. 

parte‏ أحد الحواسيب الذي دخله توريسيلي من قبل الوكالة الوطنية 
لإدارة أبحاث الملاحة الجوية والفضاء (NASA)‏ لإنجاز تصميم القمر 
الصناعي وتحليل المهمة الخاصة بمرحلات الفضاء المقبلة» استّخدم 
الحاسوب BV‏ من قبل قسم الأنظمة الأرضية للاتصالات كمخدّم الشبكة 
الداخلية والبريد الالكتروني التابع لمختبر الدفع النفاث. بعد إحراز الدخول 
المحظور إلى الحواسيب وتحميل «روووت (Ls‏ استعمل توريسلي اسمه 
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المستعار «روليكس» فى العديد من الحواسيب ليضيف مناقشات غرفة 
المحادثة ١ .(chatting)‏ 

اعترف توريسيلي أنه دعا في هذه المناقشات المشاركين بالمحادثة إلى أن 
يقوموا بزيارة موقع إلكتروني يعرض فيه صوراً إباحية» وأنه كسب 18 سينتاً عن 
JS‏ زيارة يقوم بها الشخص لذلك الموقع. لقد حصل توريسيلي تقريباً على 300 - 
0 دولار أسبوعياً من هذا النشاط. اعترف توريسيلي كذلك بجريمة اعتراض 
كلمات السّر وأسماء المستخدمين المتداولة على الشبكات الموصولة بالحاسوب 
المقتنى من قبل جامعة ولاية سان جوس. بالإضافة إلى ذلك» اعترف بجريمة 
الاستيلاء على كلمات سر وأسماء مستخدمين مسروقة استخدمها للحصول على 
نفاذٍ مجاني للإنترنت أو لإحراز دخول محظور إلى حواسيب أكثر. 


أقر توريسيلي أنه عندما كان يحصل على كلمات سر معماة (مشفرة)» 
فإنه يستخدم برنامج فك تعمية (كسر) كلمة الشّر المعروف ب «جون الممزق» 
John The Ripper‏ لفك تشفير كلمات السَّرء كما صرح بجريمة امتلاك أرقام 
بطاقات ائتمان مسروقة حصل عليها من أشخاص آخرين وخزنها على حاسوبه. 
اعترف توريسيلي أنه استخدم مثل هذا الرقم الخاص ببطاقة الائتمان لشراء 
خدمة اتصالات هاتفية بعيدة المدى. 

إن المزيد من الدلائل التي خصل عليها ضد توريسيلي قد 5 تم التوصل إليها 
من خلال تفتيش حاسوبه الشخصي» فإلى جانب الآلاف من كلمات ped‏ 
المسروقة والأرقام الهائلة لبطاقات الائتمان» وَجَدَ المحققون نسخاً من مناقشات 
غرفة المحادثة التي قد تباحث فيها كل من توريسيلي وأعضاء (Conflict?)‏ 
وسط أشياء أخرى مثل : 

1. اقتحام حواسيب أخرى. 


2. الحصول على أرقام بطاقات ائتمان تعود إلى أشخاص آخرين واستخدام 
هذه الأرقام للقيام بصفقات محرمة . 

3. استعمال حواسيبهم ليغيروا الكترونياً نتائج جوائز أفلام (MTV)‏ السنوية. 
تبين هذه القضية التنوع الكبير للأعمال الإجرامية التي قد تنشأ عن ثغرات أمن 
المعلومات. 
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رافال غري» المعروف ب «كوريدور) : 

E‏ 1 آذار/ مارس عام 0م ble 3 cas‏ الحاسوب» الذي انتتحل اسم 
«(كوريدور»» مواقع إلكترونية عديدة للتجارة الإلكترونية فى الولايات المتحدة» 
وكنداء وتايلند» واليابان» والمملكة المتحدة وَسَرَقَ حوالى ثمانية وعشرين ألف 
رقم لبطاقات ائتمان» مع خسائر مقدرة على الأقل ب 3.5 مليون دولار. لقد 
GYV 62.85‏ من أرقام بطاقات الائتمان وتواريخ انتهاء كل منها على مواقع 
الكترونية عديدة. قام مكتب التحقيقات الفدرالي بإجراء تحقيقات موسعة في 23 
والشرطة» وفي التفتيش في منزل «كوريدور»» رافال غري. اعتقل السيد غري 
البالغ من العمر 18عاماً وانّهم في المملكة المتحدة» مع شريك له في التآمرء 
بمقتضى قانون سوء استخدام الحاسوب بالمملكة المتحدة لعام on ieee‏ هذه 
القضية فوائد تطبيق القانون والتعاون مع الصناعة حول العالم بشأن تحقيقات 
جريمة الحاسوب. 


ابتزاز gh)‏ بيرغ) : 


اعتقل المواطنان الكازاخستانيان أوليغ زيزوف وزميله ايغور ياريماكا في 10 
آب/ أغسطس 2000م في cond‏ إنكلتراء نظراً إلى اقتحامهما نظام حاسوب 
مانهاتان لشركة بلومبيرغ Bloomberg L.P.)‏ في محاولة لابتزاز المال من السيد 
بلومبيرغ. تمكن زيزوف من النفاذ المحظور إلى نظام حاسوب بلومبيرغ الداخلي 
من حواسيب موضوعة في ألماتا ‏ كازاخستان. في ربيع ple‏ 1999م كانت شركة 
forth‏ تقدم خدمات قاعدة بيانات من خلال النظام المعروف ب «(بلومبيرغ 
المفتوح» إلى مؤسسة كازكومريرتس المالية القائمة في ألماتي» كازاخستان» 
وكان زيزوف موظفاً من كازكومرتس. 


أرسل زيزوف مجموعة من الرسائل الالكترونية إلى ميشال بلومبيرغ منشئ 
ومالك بلومبيرغ مستخدماً اسم «اليكس» مطالباً أن يدفع له بلومبيرغ مبلغ 
0 دولار» مقابل قيامه بتزويد بلومبيرغ بمعلومات بخصوص كيفية تمكن 
زيزوف من التسلل إلى نظام حاسوب بلومبيرغ. أرسل ميشال بلومبيرغ بريداً 
الكترونياً إلى زيزوف مقترحاً أن يلتقوا مع بعضهم بعضاً. طالب زيزوف ميشال 
بلومبيرغ أن يودع 200.000 دولار في حساب له خارج کازاخستان. أنشأ بلومبيرغ 
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انا في البنك الألماني في لندن وأودع 200.000 دولار. اقترح ميشال بلومبيرغ 
أن يقوموا بحل المشكلة في لندن ووافق زيزوف. 

في 6 آب/ أغسطس عام 2000م ذهب كل من زيزوف وزميله ياريماكا من 
كازاخستان إلى لندن. في 10 آب/ أغسطس عام 662000 التقى ياريماكا وزيزوف 
لندن» تظاهر الآول على أنه موظف إداري كبير في بلومبيرغ LP)‏ والثاني على 
أنه مترجم. ادعى ياريماكا في المقابلة أنه كان نائباً عاماً سابقاً ل كازاخستان» 
وبين أنه يمثل «اليكس) وسوف يدير شروط الدفع. ووفقاً للادعاء كرر كل من 
ياريماكا وزيزوف مطالبهما في ALLS!‏ اعتقل كل منهما بُعَيد الاجتماع. في 27 
شباط/ فبراير 2003م انتهت محاكمة انا تولجيفيش زيزوف بالحكم الإجرامي 
بسبب التلاعب بالحاسوب» والابتزاز» واستخدام الاتصالات المتعلقة بأكثر من 
ولاية من أجل الابتزاز والتآمر. إنه يواجه 28 عاماً فى السجن. هذه القضية هى 
مثال للجريمة التقليدية التي سهلها الحاسوب. 

تستمر جرائم شبكات الاتصال الالكتروني بالازدياد بمعدل يثير المخاوف» 
وتساهم الثغرات في المشكلة. إننا نشجع المدراء ومحترفي أمن المعلومات على 
تقليل الفرص للمجرمين من خلال توظيف الممارسات الأفضل وترقيع الثغرات 
قبل أن يتم استغلالها. سيواصل مكتب التحقيقات الفيدرالي ملاحقة مجرمي 
شبكات الاتصال الالكتروني باعتبارنا نكافح للبقاء متقدمين عليهم خطوة في 
سباق تقنية جريمة شبكات هذا الاتصال. 


أشكركم على دعوتكم لي لأحدثكم اليوم» وبالنيابة عن المكتب أتطلع 
بأمل ولهفة إلى العمل معكم في هذا الموضوع بالغ الأهمية. 


إحصائيات حول جرائم الحاسوب 


إن المصدر المرجعي الممتاز لإحصائيات جرائم الحاسوب هو الموقع 
الالكترونى لمعهد أمن الحاسوب Computer Security Institute (CSI)‏ 
.(www.gocsi.com)‏ هناك رابط› في موقع المعهد على الإنترنت» يحتوي على 
تقرير المعهد الخاص بالمسح السنوي لجرائم الحاسوب. يُجري المعهدٌ هذا 
المسح بالتعاون مع المركز الوطني لحماية البنية التحتية (NICP)‏ التابع لمكتب 
التحقيقات الفدرالية. إن (NICP)‏ هو عبارة عن تعاون بين الصناعة ووكالات 
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فيدرالية عديدة» وهو Lee‏ ليكون منظمة أساسية من أجل التعامل مع الجرائم 
المنفذة باستخدام الحاسوب والاعتداءات المستهدفة لبنية الأمة التحتية 
الت بها ف GUS‏ المظازاف» ‏ والظرق العامة وكات Sel pH‏ 
السلكية واللاسلكية والأبنية الحكومية. 


يقدم التقريرٌ السنوي عن المسح» والقابل للتحميل مجاناً من موقع (CST)‏ 
على الإنترنت» معلومات واضحة - مع نتائج أخرى - حول أنواع جرائم 
الحاسوب المقترفة» والمصادر الممكنة» ومتى تم الإبلاغ عنها وإلى من» 
وقيمة الخسائر. يجرى المسح كل سنة وينشر في أواخر آذار/ مارس» بداية 
نيسان/ أبريل. وغالباً ما يصبح التقرير عند نشره مصدراً إعلامياً للتنبؤ 
باتجاهات جريمة الحاسوب» وتقنيات الردع» ولقياس الزيادة في ظهور 
الجريمة من سنة إلى سنة» وتوقعات الخسائر المالية إذا ما فشلت إجراءات 
الحماية المضادة. 


مصادر مرجعية حول جدار النار 
CaS gs dell dey‏ الى ققدم Sibi Hale Gyles‏ حول LU Olde‏ 
منها ما يلي: 


Cheswick, B. and Bellovin, S. (1994). Firewalls and Internet Security: ® 
Repelling the Wily Hacker. ISBN 0-201-63357-4. Addison Wesley. 


Garfinkel, S., and Spafford, G. (1996). Practical Internet and Unix © 
Security. ISBN 1-56592-148-8. O’ Reilly Books. 


Zwicky, E. D., Cooper, S., and Chapman, D. 8. (2000). Building © 
Internet Firwalls. 224 ed. ISBN 1-56592-871-7. O’ Reilly Books. 

من المراجع الإضافية ذات العلاقة ما يلى: 
Comer, D. and Stevens, D. (1992). Inernetworking with TCP/IP (vols. I, ©‏ 
IH, III). ISBN 0-13-468505-9(1), 0-13-472242-6(11), 0-13- 474222-2(II1).‏ 
Prentice-Hall.‏ 
الأول الذي يتحدث عن المبادئ» والبروتوكولات والهندسة قراءته ممكنة من 
قبل كل شخصء أما المجلد الثاني فهو (حول التصميمء التطبيق والأمور 
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الداخلية) ميال إلى التقنية بقدر أكبر. ويغطي المجلد الثالث خادم الزبائن 

المرتبط بالحاسوب) 
Curry, D. (1992). Unix System Security - A Guide for Users and System ®‏ 
Adminstrators. ISBN 0-201-56327-4. Addison Wesley.‏ 


قائمة بريد جدران النار (Curtin, 2000) (http://lists.gnac.net/firewalls)‏ 

إن قائمة بريد جدران النار للإنترنت هى عبارة عن منتدى من أجل مدراء 
ومنفذي جدار النار. للاشتراك أرسل «اشترك في جدران النار» في الرسالة 
(وليس فى سطر موضوع (JL. I‏ إلى .(majordomo@lists.gnac.net)‏ 
معلومات حول «الكيفية» لبناء جدار النار 


© يصف هذا الموقع ما هو مطلوب من أجل بناء جدار النار» وخاصة مع 
استخدام الينوكس. 


http://sunsite.unc.edu/LDP/HOWTO/firewall-HOWTO.html. 


© مجموعة أدوات جدار النار (FWTK)‏ وأوراق جدار (ftp://ftp.tis. : WI‏ 
com/pub/firwalls).‏ 


© المنشورات المتعلقة بجدار النار لماركوس ) 351 ¢ (http://www.ranum.‏ 
com/pubs).‏ 
أبحاث حول جدران النار والاقتحامات 
(ftp://ftp.research.att.com/dist/internet_security) ©‏ 


(http://www.net.tamu.edu/ftp/ : (Texas A&M) حماية جامعة‎ cl gal 8 
security/ TAMU) 


© صفحة جدران النار للإنترنت مشروع (http://www.cs. : COAST‏ 


purdue.edu/coast/firewalls). 
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الثبت التعريفي 


[مجموعة من هذه المصطلحات مقتبسة من شر كة )2004 [(Set Solutions Inc.‏ 


سوء استعمال الامتياز Abuse of Privilege‏ : عندما يقوم المستخدمون بعمل 
لا يتوجب عليهم القيام به وفقاً لقانون أو سياسة تنظيمية. 

قوائم التحكم بالنفاذ Access Control Lists‏ : هي قواعد تخزن في المرشحات 
(مثل أجهزة الموجهات routers)‏ تقوم بتحديد كتل المعلومات التي يسمح لها 
بالدخول وتلك التي ينبغي أن تحظر. 

a> 9‏ النفاذ Access Router‏ : هو الموجّه الذي يربط شبكتك بالإنترنت الخارجية. 


جدار النار لطبقة التطبيقات Application-Layer Firewall‏ : هو نظام جدار النار 
الذي يقدم الخدمة من خلال العمليات التي تحافظ على الاستمرارية وعلى 
وضعية كاملة لاتصال بروتوكول التحكم بالنقل (TCP)‏ تعيد جدران النار 
لطبقات التطبيقات عنونة حركة سير المعلومات بحيث تظهر حركة السير الصادرة 
على أنها تولدت من جدار النار بدلا من المضيف الداخلي. 

التحقق من الهوية Authentication‏ : هو عملية تحديد هوية المستخدم الذي 
يحاول النفاذ إلى النظام. 

أمارة التحقق من الهوية ‘Authentication Token‏ هي وسيلة ALU‏ للحمل 
مستخدمة من أجل التحقق من هوية المستخدم. تعمل هذه SIL‏ بوساطة 
التحدي/ الاستجابة أو سلسلة رموز قائمة على الوقت أو بوساطة تقنيات أخرى. 
قد يتضمن هذا قوائم على الورق لكلمات سر سابقة. 

السماح أو التخويل ‘Authorization‏ هي عمليات تحديد أنواع النشاطات 
المسموح بها. يجري السماح dle‏ في سياق عملية التحقق من الهوية» ففور 
التحقق من هوية المستخدم» يُسمحُ له بأنواع محددة من الدخول أو النشاط. 
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المضيف المحصّن Bastion Host‏ : هو نظام قد تمت تقويته ليقاوم الاعتداء» 
ويركب ul‏ الشبكات التي يتوقع خضوعها للاقتحام. إن المضيفات المحصنة 
هى WE‏ أجزاء من جدران النار أو قد تكون خارج مخدمات الشبكة أو أنظمة 
الدخول للعامة. يعمل المضيف المحصن عادةً تحت نظام للتشغيل متعدد 
الاستعمالات (على سبيل المثال» اليونيكس» VMS ONT‏ . .الخ) Ya‏ من 
نظام تشغيل البرمجيات المخزنة بطريقة لا يمكن تغيرها (Filmware)‏ أو من 
النظام القائم على ذاكرة القراءة فقط. 

التحدى/ الاستحابة ‘Challenge/Response‏ هى تقنية للتحقق من الهوية يرسل 
بواسطتها المخدّم تحدياً لا يمكن التنبؤ به إلى المستخدم الذي يحسب 
leg base GLY‏ من Geol bl‏ من agg‏ 


الجمع الفاحص التعموى (التشفيرى) Cryptographic Checksum‏ : هو تابع 
حسابى وحيد الاتجاه يطبق على الملف لحساب (dares)‏ خاصة بالملف من 
أجل مراجعة لاحقة. إن أنظمة الجمع الفاحص هي وسائل أساسية لكشف 
ملفات النظام الخبيثة على اليونيكس. 

الاعتداء المسيّر بالبيانات ‘Data Driven Attack‏ هو شكل oe‏ أشكال 
الاعتداء يتم فيه ترميز الاقتحام برموز تبدو بريئة ضمن البيانات وهو ينفذ من 
قبل المستخدم أو برمجيات أخرى لتحقيق الانتهاك. في حالة الجدران النارية 
يكون الاختراق المسير بالبيانات مصدراً GLU‏ باعتباره قد يخترق الجدار الناري 
على شكل بيانات» ويشن هجوماً ضد النظام خلف الجدار الناري. 

الدفاع فى العمق Defense in Depth‏ : هو منهج من مناهج أمن المعلومات 
تجري منه حماية كل نظام على الشبكة إلى أقصى درجة. قد يستخدم بالارتباط 
مع الجدران النارية. 

خداع نظام اسم النطاق (DNS) DNS Spoofing‏ : هو انتحال اسم (DNS)‏ 
يخص نطاقاً لنظام آخرء إما بوساطة تغيير ذاكرة خدمة حفظ الأسماء التابعة للنظام 
الضحية أو بوساطة انتحال شخصية مخدّم اسم النطاق من قبل مخدم آخر. 

الموجه المعمى Encrypting Router (Aidi)‏ : انظر فی تعريف الموجه عبر 


الأنفاق «Tunneling Router‏ أو الحدود الخارجية للشبكة الافتراضية Virtual‏ 
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جدار النار Firewall‏ هو نظام أو مجموعة من الأنظمة تقوي حدود الحماية 

أمن المعلومات القائم على المضيف ‘Host-based Security‏ هى تقنية لحماية 
على النسخة التى تستعملها منه. 

اعتداء من الداخل ‘Insider Attack‏ هو الاعتداء الول من داخل الشبكة 
ا 


كشف الاختراق ‘Intrusion Detection‏ هو الكشف عن الاقتحامات أو 
محاولات الاقتحام إما يدوياً أو بوساطة برمجيات 23 خبيرة تعمل على 
سجلات الأداء (Logs)‏ أو على معلومات أخرى متوفرة على الشبكة. 


سرقة/ اختطاف :IP Splicing/Hijacking (IP)‏ هو الاعتداء الذي يتم فيه تعطيل 
أو اقتحام جلسة تواصل قائمة عبر الإنترنت من قبل ee‏ قد تحدث اعتداءات 
اختطاف (IP)‏ بعد أن يتم إجراء التحقق من الشخصية سامحاً للمقتحم أن ينتحل 
وظيفة المستخدم المباح للتو. تعتمد الإجراءات الأساسية للحماية من اختطاف 
(IP)‏ على التعمية في طبقة الجلسة أو طبقة الشبكة» من طبقات الاتصال السبع 
المعروفة. 


خداع ال :IP Spoofing (IP)‏ هو الاعتداء الذي يحاول فيه النظام المعتدي 
انتحال صفة نظام آخر بشكل غير شرعي من خلال استخدام عنوان شبكة ال 
(IP)‏ خاصته. 

الامتياز الأدنى ‘Least Privilege‏ هو تصميم خصائص النظام التشغيلية للعمل 
بالقدر الأدنى من امتياز النظام. يقلل هذا من مستوى سماح تنفيذ العديد من 
الأفعال» ويخفف من الفرصة التي قد تسببها العملية أو المستخدم ذو 
الامتيازات العالية للقيام بنشاط محظور مؤدياً إلى خلل في أمن المعلومات. 

تدوين الأحداث 8 هو عملية تخزين المعلومات المتعلقة 
بالأحداث التي تقع على جدار النار أو الشبكة. 

معالحة سجل (أو مدونة) الأحداث Log Processing‏ : كيف تتم معالجة 
سجلات الرقابة وتفحصها من أجل الأحداث الجوهرية أو تلخيصها. 
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فترة حفظ سجل (مدونة) الأحداث Le: Log Retention‏ هي المدة التي يتم 
فيها حفظ سجلات الرقابة وصيانتها. 

جدار النار لطبقة الشبكة :Network-Layer Firewall‏ هو الجدار الناري حيث 
تفحص حركة السير في طبقة US‏ معلومات بروتوكول الشبكة. 

الحماية القائمة على محيط الشبكة Perimeter-based Security‏ : هي تقنية 
لحماية الشبكة بوساطة التحكم بالنفاذ إلى جميع نقاط الشبكة المخصصة 
للدخول والخروج. 

السياسة Policy‏ : هى القواعد الموضوعة على مستوى المنظمة والتى تضبط 
A EE pe‏ امهف ف انعد E‏ عار ساف T‏ 
والإجراءات التشغيلية. 


المخدّم الوكيل Proxy‏ هو وكيل برمجي يعمل لمصلحة المستخدم. Sale‏ 
يقبل الوكلاء الاتصال من المستخدم ويتخذون القرار بخصوص ما إذا كان 
عنوان بروتوكول الإنترنت AP)‏ للزبون أو المستخدم مسموحاً أو ممنوعاً من 
استخدام الوكيل» كما يمكن أن يقوم بإجراء تحقيقات إضافية بعد ذلك يكمل 
الاتصال لمصلحة المستخدم إلى الموقع المطلوب. 

سرقة الجلسة :Session Stealing‏ (راجع أيضاً تعريف سرقة/ اختطاف (IP)‏ 
والهندسة الاجتماعية) هو اعتداء مرتكز على خداع المستخدمين أو المدراء في 
الموقع المستهدف. تنفذ اعتداءات الهندسة الاجتماعية dale‏ بوساطة الاتصال 
بالمستخدمين أو العاملين والتظاهر بأنها مستخدم مباح لمحاولة إحراز النفاذ غير 
الشرعي إلى الأنظمة. 


علم إخفاء البيانات داخل الصور أو الصوت ‘Steganography‏ يرتكز إخفاء 
bl ULI‏ الضون oh‏ الصوة Lyle‏ على plas‏ الأول هى أن السات 
التي تحتوي على صور أو أصوات محولة إلى إشارة رقمية قد تُغيّر بدون فقد 
وظيفتهاء على خلاف الأنواع الأخرى من البيانات التي يجب أن تكون دقيقة 
لتعمل كما يجب. يتناول المبدأ الثاني عدم قدرة الإنسان على تمييز التغيرات 
الثانوية في لون الصورة أو جودة الصوت. 

حصان طروادة Trojan Horse‏ : هو كيان برمجي يظهر وكأنه يقوم بأمر 
طبيعي ولكنه في الحقيقة يحتوي على برنامج للاعتداء أو على باب المصيدة. 
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agh‏ عبر الأنفاق Tunneling Router‏ : هو 425% أو plas‏ قادرٌ على توجيه 
حركة سير المعلومات بعد تعميتها (تشفيرها) ووضعها في كبسولة رقمية 
وإرسالها عبر شبكة غير موثوقة» ليجري فك الكبسولة المعماة من قبل المستلم. 

محيط الشبكة الافتراضية Virtual Network Perimeter‏ : هى شبكة تظهر على 
melee: ween ray et orale‏ عار E cer cere ape ae O‏ 
inn LES) alleys‏ عبن ME PIES‏ 


الفيروس ge: Virus‏ سلسلة من الرموز ترفق نَفْسَها على ملف للبيانات أو 
على برنامج ماء وتكرر ذلك بشكل واسع. قد تحتوي الفيروسات أو لا تحتوي 
على برامج للاعتداء» أو على أبواب المصيدة. 

الدودة Worm‏ | هي برنامج مستقل ينسخ نفسه من مضيف إلى آخر» pees‏ 
نفسه بعد ذلك على كل مضيف مصاب حديثا. إن «فيروس الإنترنت» المشار إليه على 
نحو واسع عام 1988م لم يكن فيروساً على GAYI‏ وإنما كان في الواقع دودة. 


أسئلة متكررة الطرح حول فيروسات الحاسوب 
إن القائمة التالية للآسئلة متكررة الطرح موجودة على المواقع : 
e http://www.faqs.org‏ 
٠ Computer virus FAQ for New users:‏ 
http://www.faqs.org/computer-virus/new-users/‏ 
e Virus-L/comp.virus FAQ v2.00‏ 
http://www.faqs.org/faqs/computer-virus/faq‏ 
e Viruses and the Mac FAQ‏ 
http://www.faqs.org/faqs/computer-virus/macintosh-faq/alt.compp.virusMini-Faq‏ 
e http://www.faqs.org/fags/computer-virus/mini-faq/alt.cop. virusFA Qpart1/4‏ 
e http://www.faqs.org/fags/computer-virus/alt-faq/part1/alt.comp.virusFA Qpart2/4‏ 
e http://www.faqs.org/fags/computer-virus/alt-faq/part2/alt.comp.virusFA Qpart3/4‏ 
e http://www.faqs.org/fags/computer-virus/alt-faq/part3/alt.comp.virusFA Qpart4/4‏ 


e http://www.faqs.org/faqs/computer-virus/alt-faq/part4/ 
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قواعد البيانات التي تعالج OG lb‏ 


تلقّى مركز التنسيق CERT‏ فى الولايات المتحدة العديد من الاتصالات 
والرسائل الالكترونية من أشخاص يسألون Ke‏ إذا كانت الرسالة التي تصلهم 
عبر البريد الالكتروني صحيحة أم لا؟ قد تساعدك قائمة المصادر الآتية في 
التميز بين الرسائل أو التحذيرات الكاذبة والصحيحة: 


© المقدرة الاستشارية بشأن حوادث 
الحاسوب 

© الرسائل المخادعة فى الإنترنت - كيفية 
تمييز الرسالة المخادعة أو التحذير 
الصحيح» وماهي الأمور الواجب 
فعلها؟ 

© التحذيرات läb all‏ مضاد للفيروس 


© معلومات حول الرسالة المخادعة 


© الرسائل المسلسة في الإنترنت - كيفية 
تمييز الرسالة الجديدة المسلسة» ماهى 
الأمور الواجب فعلها؟ 

© فيروس الرسالة المخادعة مكتبة 
المعلومات حول الفيروس  McAfee‏ 


© الرسائل المخادعة ‏ مكتبة الفيروس - 








Charles Hymes hoaxes 


http://www.nonprofit.net/hoax 


CIAC (computer incident advisory capability) 


Internet hoaxes- how to identify a new hoax or valid 
warning and what to do? 


http://hoaxbusters.ciacorg/HBHoaxInfo.html 


IBM antivirus online- hype alerts! 


http://www.av.ibm.com/BreakingNews/Hypealert/ 


ICSA- Hoax Information 
http://www. icsa.net/html/communuties/antivirus/ 


hoaxes/ 


Internet chain letters- how to recognize a new chain 
letter, what to do? 
http://www.hoaxbusters.ciac.org/HBHoaxInfo.html 
McAfee- virus Information library- virus hoaxes 
http://www.vil.mcafee.com/hoax.asp 

Network Associates- virus library- hoaxes 


http://www.nai.com/asp_set/anti_virus/library/ 


hoaxes.asp 


() ظاهرتان من ظواهر البريد الإلكتروني» الأولى هي تلقّي رسالة والحض على sole}‏ إرسالها إلى 


الآخرين chain letter‏ أو نشر رسالة» والثانية هی تلقى إنذار أو تحذير كاذب Hoax‏ 
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A 3 p0 5 he 
منشورات ومنظمات حول الفيروس‎ 
EICAR (European Institute for Computer Anti- LAL (المؤسسة الأوروبية من أجل البحث‎ © 
Virus Research) EICAR للفيروس المتعلق بالحاسوب)‎ 


http://www.eicar.com/ 


تضم (EICAR)‏ الجامعات» والصناعة ووسائل الإعلام» بالإضافة إلى 
خبراء القانون والحماية التقنية من الحكومة (مدنيا وقضائيا وعسكريا) إلى جانب 
منظمات حماية الخصوصية التي تهدف إلى توحيد الجهود غير الربحية ضد 
كتابة وتكاثر الرموز الخبيثة مثل أحصنة طروادة أو فيروسات الحاسوب وضد 
جرائم الحاسوب» والتلاعب وسوء استخدام الحواسيب أو الشبكات» بما في 
ذلك الاستغلال الماكر Gab yell obLS‏ مرتكرة على O68‏ 


ICSA (International Computer Security ICSA (الاتحاد العالمى لحماية الحاسوب)‎ © 
Association) 


http://www.icsa.net http://www.icsa.net/html/ 


communities/antivirus http://www. virusbtn.com 

يهتم الاتحاد بالمنشورات العالمية حول تجنب» وتمييز وإزالة فيروس 

الحاسوب. إن نشرة الحاسوب (Virus Bulletin)‏ هى مجلة تقنية حول التطورات 
فى مجال فيروسات الحاسوب والمنتجات المضادة للفيروس. 


The Wildlist Organization International منظمة اللائحة الحرة الدولية‎ © 


http://www.wildlist.org 
هى تزويد‎ (Wildlist Organization) منظمة اللائحة الحرة‎ dogs إن‎ 
إلى كل‎ (in the wild) معلومات شاملة ودقيقة ومناسبة حول فيروسات الحاسوب‎ 
من المستخدمين ومطوري المنتجات.‎ 
يلون‎ e A التق تايف‎ EEE ا روات‎ 
سيطرة والتي أبلغ عنها بوساطة مجموعة متنوعة مؤلفة من أكثر من 40 متطوعا‎ 
متناول الجميع مجانا من قبل المنظمة.‎ E مؤهلا. لقد وضعت هذه القائمة‎ 
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NIST (www.NIST.gov) ©‏ . المواصفات الشائعة من أجل تقييم أمن 
تقنية المعلومات»› 615408 المعيار الشائع (http://csre.ncsl.nist.gov/cc/ccv20/‏ 
cc2list.html)‏ 


.(NIST. 1995) ©‏ فى (B.Guttman & E.Roback)‏ مقدمة إلى حماية 
الحاسوب : > )800-12 the NIST E‏ . 

© كتاب .(DoD orange)‏ معيار (DOD)‏ لتقدير نظام الحاسوب الموثوق» 
دائرة الدفاع للولايات المتحدة «(DoD 5200.28-STD)‏ نشر في كانون الأول/ 
ديسمبر عام 1985م. 

© منظمة من أجل التطوير والتعاون الاقتصادي .(OECD,1992)‏ توجيهات 
من أجل حماية أنظمة المعلومات» باريس» .(OECD,OECD/GD(92)190)‏ 


© كتاب )1987 .(RED‏ المركز الوطنى لحماية الحاسوب. الأداء الموثوق 
«aS AU‏ نسخة1,0. .NCSC,NCSC-TG-005‏ 


مراكز الاستجابة للحوادث 
CERT (sm) coordination center ©‏ 
http://www.cert.org/‏ 
البريد الالكتروني : cert@cert.org‏ 
الهاتف : 412/268-7090 
Computer Incident Advisory Capability (CIAC) ©‏ 
http://ciac.llni.gov/‏ 
البريد الالكتروني : ciac@llnl.gov‏ 
الهاتف : 925/422-8193 
© وكالة أنظمة المعلومات الدفاعية من أجل الأنظمة الآلية: 
Defense Information Systems Agency for Automated Systems‏ 


فريق دعم حوادث الحماية (المساعدة» لمواقع وزارة الدفاع) 
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(Security Incident Support Team Cassist, for DOD Sites) 


http://www.assist.mil/ 
cert@cert.mil : البريد الالكترونى‎ 
800/357-4231 : الهاتف‎ 


Department of Homeland Security © 


http://www.uscert.gov 


البريد الالكترونى : uscert@uscert.gov‏ 


Federal Computer Incident Response Capability(/(FEDCIRC) © 
http://www.fedcirc.gov/ 

البريد الالكتروني : fedcirc@fedcirc.gov‏ 

الهاتف: 888/282-0870 


© منتدى فرق الحماية والاستجابة للحوادث: 
Forum of Incident Response and Security Teams (FIRST)‏ 


http://www.first.org 
first-sec@first.org : البريد الالكترونى‎ 


NASA Incident Response Center(NASIRC) 


http://www-nasirc.nasa.gov/nasa/index.htm 
nasirc@nasire.nasa.gov : البريد الالكترونى‎ 
800/762-7472 : الهاتف‎ 


© مكتب التحقيقات الفديرالى - المركز الوطنى لحماية البنية التحتية 


(Federal Bureau of Investigation FBI- National Infrastructure Protection 


Center(NIPC) 
http://www.fbi.gov/nipe/index.htm 
nipc@fbi.gov : البريد الالكترونى‎ 
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الاتحادات والمنظمات المتخصصة بأمن المعلومات 
ISSA:(www.issa.org) ©‏ 
© مؤسسة (www.sans.org) :SANS‏ 


© الاتحاد العالمي لحماية الحاسوب (International Computer Security‏ 


Association) ICSA: (www.icsa.net) 


(Computer Security Institute) CSI: (www. الحاسوب‎ Ge مؤسسة‎ © 


gocsi.org) 


مواقع إلكترونية مفيدة في أمن المعلومات 
http://www.infosyssec.org/infosysec/index.htm‏ 
http://www.certicom.com‏ 
http://www.counterpane.com‏ 
http://www.cs.purdue.edu/coast‏ 
http://www.cs.georgetown.edu/~denning/crypto/index.html‏ 
http://www.ntbugtraq.com‏ 
http://www.nsi.org/cornpsec.html‏ 
http://www.sans.org‏ 
http://www.securityportal.com‏ 
http://www.icsa.net‏ 
http://www. itpolicy.gsa.gov‏ 
http://www.cit.nih.gov/security.html‏ 
http://cs-www.nist.gov‏ 
http://www.bs.org‏ 
http://www.rsa.com‏ 


http://www.telstra.com.au/info/security.html 
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gall‏ العربي 
معيار التعمية (التشفير) المتقدم 
نقطة نفاذ 
مجموعة الخدمة الأساسية 
فريق الاستجابة للتحليل الحاسوبي 
فرق الاستجابة لطوارئ الحاسوب 
المدير JU‏ 
مسؤول أمن المعلومات الرئيسي 
خطة عمليات الطوارئ 
متوفرة تجارياً في السوق 
إدارة العلاقة مع الزبون 
بروتوكول بناء (توضيب) الحاسوب 
المضيف ديناميكيا 
وزارة الأمن الوطني(الأمريكية) 
وزارة الدفاع (الأمريكية) 
حرمان من الخدمة 
بروتوكول التحقق من الهوية الموسع 
تبادل البيانات الإلكتروني 
التخطيط لموارد المؤسسة 
مجموعة الخدمة الموسعة 
معيار التحقق من هوية المستخدم 
بمستوى المؤسسة 
مكتب التحقيقات الفيدرالي 
الإطار المعماري للمؤسسة الفيدرالية 


أصل المختصر 
Advanced Encryption Standard‏ 
Access Point‏ 
Basic Service Set‏ 
Computer Analysis Response Team‏ 
Computer Emergency Response Teams‏ 
Chief Finance Officer‏ 
Chief Information Security Officer‏ 
Contingency Operation Plan‏ 
Commercial Of The Shelf‏ 
Customer Relation Management‏ 


Dynamic Host Configuration Protocol 


Department of Homeland Security 
Department Of Defense 

Denial Of Service 

Extensible Authentication Protocol 
Electronic Data Interchange 
Enterprise Resource Planning 
Extended Service Set 


Enterprise-level User Authentication 
Federal Bureau of Investigation 


Federal Enterprise Architecture 


Framework 
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المختصر 
AES‏ 
AP‏ 
BSS‏ 
CART‏ 
CERTs‏ 
CFO‏ 
6050 
COOP‏ 
COTS‏ 
CRM‏ 
DHCP‏ 


DHS 
DOD 
DOS 
EAP 
EDI 
ERP 
ESS 
EUA 


FBI 
FEAF 


النظام العالمي لتحديد الموقع 
قانون المساءلة الخاص بالضمان 
(SAW geal‏ 

تأمين المعلومات 

de pot‏ الخدمة الأساسية المستقلة 
نظام كشف الاختراق 

مركز الادعاء ضد التلاعب عبر 
الإنترنت 

(نموذج زاشمان) لأمن المعلومات 
بروتوكول الإنترنت 

خدمة الإيراد الداخلي 

متجه الابتداء 

شبكة حاسوب محلية 

عنوان التحكم بالنفاذ إلى الوسائط 
(هوية الجهاز مجسدة فيه) 

فحص سلامة الرسالة 

بطاقة الربط مع الشبكة 

مساعد شخصي رقمي 

البنية التحتية للمفتاح العام 

اتفاقيات مستوى الخدمة 

مخدمات إدارة البرمجيات 

مكتب العمل أو المنزل 

إجراءات العمل المعيارية (القياسية) 
مُعَرّف مجموعة الخدمة 

بروتوكول سلامة المفتاح المؤقت 
شبكة خاصة افتراضية 

نقطة نفاذ لاسلكي 

خصوصية مكافئة للشبكات السلكية 
JS shop‏ اة SLA‏ 
EE‏ ا ت غلية ASLAN‏ 

النفاذ المحمي لشبكة Wi-Fi‏ 


Global Positioning System 


Health Insurance Portability and 


Accountability Act. 
Information Assurance 
Independent Basic Service Set 
Intrusion Detection System 


Internet Fraud Compliance Center 


Information Security 
Internet Protocol 
Internal Revenue Service 
Initialization Vector 
Local Area Network 


Media Access Control Address 


Message Integrity Check 
Network Interface Card 
Personal Digital Assistant 
Public Key Infrastructure 
Service Level Agreements 
Software Management Servers 
Small Office/Home Office 
Standard Operational Procedures 
Service Set Identifier 

Temporal Key Integrity Protocol 
Virtual Private Network 
Wireless Access Point 

Wired Equivalent Privacy 
Wireless Encryption Protocol 
Wireless Local Area Network 


Wi-Fi Protected Access 
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GPS 
HIPAA 


IA 
IBSS 
IDS 
IFCC 


INFOSEC 
IP 

IRS 

IV 

LAN 

MAC address 


MIC 
NIC 
PDA 
PKI 
SLAs 
SMS 
SOHO 
SOPs 
SSID 
TKIP 
VPN 
WAP 
WEP 
WEP 
WLAN 
WPA 


ثبت المصطلحات 
(عربي ‏ إنجليزي) 





ختطاف Hijacking‏ 
لأخلاقية Ethicality‏ 
أسهم Shares of stock‏ 
أصحاب المصلحة Stake holders‏ 
أعمال الغش والخداع Fraud schemes‏ 
أمن Security‏ 
إنذار كاذب Hoax‏ 
باب مفخخ Trap door‏ 
بر OLS‏ خبيثة malware‏ 
بر مجيات مجسدة )54 Firmware (G5‏ 
بفاعلية Effectively‏ 
البقعة الساخنة Hot spot‏ 
بكفاءة» بمردودية Efficiently‏ 
البنية Configuration (ass LIF)‏ 
تحديث Upgrade‏ 
Enhancement ent‏ 
التحقق من الهوية Authentication‏ 
التحكم بالنفاذ Access control‏ 
تحيين Up-date‏ 
تخزين احتياطي Back-up‏ 
ترقيعات Patches‏ 
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تفقد بروتوكول الإنترنت 
التفويض 

تقييم أثر المخاطر 

تقييم الأثر 

تلصص على كتل المعلومات 
تنصيب البرمجيات 

لتوثيق 

ae 
لجاهزية‎ 

لجدار اللاسلكي 

حاسوب مسلوب الإرادة (مسكون) 

لتحرّي بالسيارة 

لتحرّي بالهاتف 

لحض على إعادة إرسال رسالة (بريد إلكتروني) 





Cabs‏ الث لشبکات 
لدفاع المعمق عن المعلومات 


دورة حياة 





سلسلة التزويد 

سيرورة الأعمال 

ضوابط 

pe) foul pte‏ التشويدن) 
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Validate 

Internet protocol scanner 
Authorization 

Risk assessment 
Assessment 

Packet sniffer 
Software installation 
Notarization 
Vulnerabilities 

Trust 

Availability 

Wireless wall 
Zombie 

War driving 

War dialing 

Chain letter 
Protection 

Spoofing 

Privacy 


LAN jacking 


Information defense in depth 


Life Cycle 
Confidentiality 
Integrity 

Supply chain 
Business process 
Controls 


Noninterference 


عدم إنكار التواصل 

LLG‏ المساءلة 

قرصان (على شبكة الإنترنت) 
متلصلص 

غترق (على شبكة الإنترنت) 
مدونة (سجل) الحوادث 
المساهمين 

مستودع بيانات 

موافقة أمنية 

نظم احتياطية 
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Non-repudiation 
Accountability 
Hacker 

Sniffer 

Cracker 

log 

Share holders 
Data warehouse 
Security clearance 
Router 
Redundancy systems 


Hub 


ثبت المصطلحات 
(إنجليزي ‏ عربي) 


التحكم بالنفاذ Access control‏ 
قابلية المساءلة Accountability‏ 
تقييم الأثر Assessment‏ 
التحقق من الهوية Authentication‏ 
التفويض Authorization‏ 
الجاهزية Availability‏ 
تخزين احتياطي Back-up‏ 
سيرورة الأعمال Business process‏ 
الحض على إعادة إرسال رسالة (بريد إلكتروني) Chain letter‏ 
السّرية Confidentiality‏ 
البنية Configuration (ass LIF)‏ 
ضوارط Controls‏ 
مخترق de)‏ شبكة الإنترنت) Cracker‏ 
مستودع بيانات Data warehouse‏ 
بفاعلية Effectively‏ 
بكفاءة» بمردودية Efficiently‏ 
تحسين Enhancement‏ 
الأخلاقية Ethicality‏ 
بر مجيات مجسدة )54 Firmware (G5‏ 
أعمال الغش والخداع Fraud schemes‏ 
قرصان(على شبكة Hacker (cs BVI‏ 


193 


ختطاف 

إنذار كاذب 

لدفاع المعمق عن المعلومات 
لسلامة 





تفقد بروتوكول الإنترنت 
ECan tees‏ 

دورة حياة 

مدونة (سجل) الحوادث 

بر مجيات خبيثة 

عدم التدخل (عدم التشويش) 
عدم إنكار التواصل 


194 


Hijacking 

Hoax 

Hot spot 

Hub 

Information defense in depth 
Integrity 

Internet protocol scanner 
LAN jacking 

Life Cycle 

log 

malware 
Noninterference 
Non-repudiation 
Notarization 

Packet sniffer 
Patches 

Privacy 

Protection 
Redundancy systems 
Risk assessment 
Router 

Security 

Security clearance 
Share holders 

Shares of stock 
Sniffer 

Software installation 


Spoofing 


أصحاب المصلحة 


التحري بالمودم 

التحري بالسيارة 

الجدار اللاسلكى 

حاسوب مسلوب الإرادة (مسکون) 
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Stake holders 
Supply chain 
Trap door 
Trust 
Up-date 
Upgrade 
Validate 
Vulnerabilities 
War dialing 
War driving 
Wireless wall 


Zombie 


المراجع 


Alliance, W. F. (2003). Wi-Fi Protected Access: An Overview. Retrieved 5 Feb- 
ruary 2004, from http://www.wi-fi.org/OpenSection/pdf/Wi-Fi_Protecte- 
d_Access_Overview.pdf. 


Austin, R. (2001). The iPremier Company (a): Denial of Service Attack. Har- 
vard Business School, 9-601-114 (rev. 13 June 2002). Boston, MA: Har- 
vard Business School Publishing. 


Beach, G. (2003, April 1). Certify security. CIO Magazine: 12, 16. 


Cranite. (2003). Wireless Wall® Technical Operation White Paper. Retrieved 7 
February 2004, from http://www.cranite.com|pdf/whitepapers/wirelesswall- 
tech-op.pdf. 


Curtin, M., and. Ranum, M. J. Internet Firewalls: Frequently Asked Questions. 
Date: 2000/12/01 19:48:21. Revision: 10.0. Downloaded 14 February 
2004 from http://www.faqs.org/faqs/firewalls-faq. 


Farnan, J. E. (2003). Fighting Fraud: Improving Information Security. Federal 
Bureau of Investigation, Washington, D.C., 3 April, Downloaded on 15 
February 2004 from http://www.fbi.gov/congress/congress03/far- 
nan040303.htm. 


Fluhrer, S., Mantin, I., and Shamir, A. (2001). «Weaknesses in the Key Sche- 
duling Algorithm or RC4.» Eighth Annual Workshop on Selected Areas in 
Cryptography. 


FTC (2004). Report on Consumer Complaints. 


Gehrke, R. (2003). «Quick Consumer Notification Key in Identity Theft 
Cases,» USA Today: 6 November, Retrieved 15 February 2004 from 
http://www.usatoday.com/tech.news/internetprivacy/2003-11- 06-id- 
theft-tips_x.htm 


Gordon, B. (2003). 21 Tips for Improved Wireless Security. Unpublished. 


197 


IEEE (2001). 802.116-1999 Wireless LANs (802.11). Retrieved 4 February 
2004, from http://standards.ieece.org/reading/ieee/std/lanman/restricted/ 
802.11b-1999. pdf. 


Karygiannis, T., and Owmes, L. (2002). Wireless Network Security: 802.11, 
Bluetooth™ and Handheld Devices. Retrieved 4 February 2004, from 
http://csrc.nist.gov/publications/drafts/draft-sp800- 48 pdf. 


Kim, G., and Shin, J. G. (2003). Proposal for a Secure Wireless LAN System in 
Which the RF Signal is Invisible to Unauthorized Observers and Intruders. 


Lewicki, R. J. and Bunker, B. B. (1996). «Developing and Maintaining Trust 
in Work Relationships.» In: R. M. Kramer and T.R. Tyler (eds.). Trust in 
Organizations - Frontiers of Theory and Research. London: Sage Publica- 
tions. 


Maconachy, W. [et al.] (2001). «A Model for Information Assurance: An inte- 
grated Approach.» Paper presented at: Proceedings of the 2001 IEEE 
Workshop on Information Assurance and Security, 5-6 June. Figures 1 and 
2 are also taken from this paper. 


Musgrove, M. (2004). «Tech Experts Downplay Theft of Windows Code.» 
Washington Post: 14 February, E1. 


Nolan, R. (2001). «Q&A with Harvard Business School’s Dr. Richard Nolan: 
IT Business Strategies in the Network Era.» Harvard Business Review: 29 
June. 


Reid, N., and Seide, R. (2003). 802.11 (Wi-Fi) Networking Handbook. New 
York: McGraw-Hill. p. 182. 


Reiner, R. (dir.) (1984). This Is Spinal Tap [Motion picture]. United States: 
Metro Goldwyn Mayer. 


Al-Saleh, A. (2002). Secure, Seamless Roaming Leads to an Ideal Wireless Ex- 
perience. Retrieved 3 February 2004, from http://www.tmcnet.com/biz- 
watch/articales/090402a.htm. 


SetSolutions, Inc. (2004). Retrieved 4 February 2004 from http://www. setsolu- 
tions.com/security.html. 


Stubblefield, A., Ioannidis, J. and Rubin, A. D. (2001). Using the Fluhrer, Man- 
tin, and Shamir Attack to Break WEP (No. TD-4ZCPZZ). AT&T Labs. 


198 


حول مؤلفي الكتاب 


لورنس el‏ أوليفا: هو مدير «إدارة مشروع البنية التحتية» لمشروع التحالف 
(CSCPRIME)‏ الذي يركز على تجديد العديد من الاتصالات والبنية التحتية 
المتعلقة بالحاسوب التابعة لوزارة المالية فى الولايات المتحدة. لديه خبرة أكثر 
من 25 سنة بإجراءات وممارسات أمن المعلومات من وجهتي نظر الإدارة 
التنفيذية والتقنية» ولقد نفذ العديد من الممارسات الأفضل لإدارة أمن 
المعلومات المذكورة في هذا الكتاب. بوصفه محترفاً مجازاً في إدارة المشاريع 
.)PMP(‏ أدار أوليفا عدة مشاريع استثنائية هامة وبالغة الخطورة» قد وصلت إلى 
0 مليون دولار فى الميزانية. وباعتباره نائباً لرئيس شركة تختض بأمن 
الحاسوب تطور حلول الحماية البيولوجية» OB‏ فريقه قد قام بتطوير وتركيب 
الإجراءات اللازمة للانتقال بسرعة وأمن ورخص لمئات مستخدمى تقنية 
المعلومات للرعاية الصحية والمالية من أوضاع كلمة السّر فقط إلى بيئات 
الدخول البيولوجى للحماية العالية متعددة الطرق. وهو عضو فى هيئة التدريس 
لجامعة فونيكس. 


تعمل كريسان هيرود في جامعة الدفاع الوطني كرئيسة قسم عمليات 
المعلومات وقسم تأمين المعلومات» حيث إنها مسؤولة عن المناهج بما في 
ذلك العمليات وتأمين وأمن المعلومات» بالإضافة إلى كونها أستاذة جامعية 
لمادتي إدارة الأنظمة وأمن المعلومات. لقد كانت سابقاً مديرة أمن تقنية 
المعلومات الشاملة فى غلاكسو سميث كلاين (gsk)‏ وهى الشركة الضخمة 
للمستحضرات KESAN‏ كما كانت مديرة لأمن brad‏ «فانی مى) وهو 
SY‏ اوا وی ا عند كافك فى SUR‏ ا حقلت ی 
مدعومة من البيت الأبيض من أجل O are eer‏ العم كرسي 
لمجموعة عمل فى تحليل ومشاركة المعلومات» وهى الآن مستشارة خاصة 
درف مع تلا وبشار كه E E‏ المنافة انان Ea eal‏ 
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أستاذ جامعي تقوم بتدريس مواد القيادة وأمن المعلومات في جامعتي فيرفاكس 
و فونيكس. لقد درست من عام 1999 إلى عام 2001م مواد أمن المعلومات 
لطلاب الدراسات العليا في جامعة جورج واشنطن. 

إن كريج أي. كوشر هو أستاذ جامعي لتأمين المعلومات وعملياتها في 
جامعة الدفاع الوطني. عمل في مجموعة متنوعة من المناصب لإدارة الأنظمة وأمن 
المعلومات» من المستوى التكتيكي إلى المستوى الاستراتيجي» وفي مجتمع 
الاستخبارات الأمريكية لأكثر من 21 Lle‏ فى مهنة الخدمة العسكرية. حصل على 
الور يريج كن tae ee VLANI‏ فقيل piles detana ely‏ 
مق dale‏ ا و pears‏ ا 5 نظم المعلومات. حائز 
كذلك على شهادتي التخرج 0 و CIO‏ من وزارة الدفاع وهو مدير مجاز في 
أمن المعلومات (CISM)‏ لقد قام بنشر مقالات حول محاور متعددة في أمن 
المعلومات وتحدث في مؤتمرات صناعية وحكومية عديدة. 

ل.ت.سى. كليفتون ه. بوول CISSP CISM «IAM‏ هو جندي محنك 
yon Oyler eo geal aia ee‏ ساني 
تأمين المعلومات» ورسم السياسة» ومعايير الحماية والأمن اللاسلكية في كلية 
إدارة مصادر المعلومات في جامعة الدفاع الوطني ‏ واشنطن DC‏ لقد تميز في 
جريدة بوست واشنطن عام 2003م لبحثه في الأمور الحاسوبية اللاسلكية باعتباره 
رسم خريطة لنقاط الوصول اللاسلكية المحلية. إنه طالب دكتوراه في علوم 
المعلومات والحاسوب» جامعة جنوب شرغي BS‏ 


تشاليز ريكس الرابع (IV)‏ هو كبير موظفي المعلومات ومدير العمليات 
الأكاديمية في كلية الحرب. الوطنية في واشنطن DC‏ حصل على شهادة 
البكالوريوس من معهد فيرجينيا الحربي وماجستير في إدارة الأعمال من جامعة 
e‏ كما أنه BLE‏ على شهادة كبير موظفي المعلومات وشهادة تأمين 
المعلومات من كلية إدارة مصادر المعلومات في جامعة الدفاع الوطني. يقتني 
السيد ريكس مؤسسة استشارات» وهو عضو فى هيئة التدريس والإدارة فى 
چ ر l l‏ 
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فهرس 


= 


آليات أمن المعلومات: 67( 79 

آليات التحكم بالنفاذ: 271 80-79 

الأبعاد العشرة لحودة المعلومات: 40 

اتفاقيات مستوى الخدمة (SLAs)‏ : 612 
116-5 


إجراءات الأمن: 619 648-47 62( 69ء 
78-77« 114-113( 144 

إجراءات الأمن المضادة : 48-47 

إجراءات الأمن الوقائية: 77 

إجراءات التنفيذ المضادة : 

لإجراءات المضادة البنيوية : 146 


حصنة طروادة: 618 625 65» 103» 
166 


144 


s 


ختبار (Beta)‏ العالمي: 36 

ختبار الاختراق: 677 161 

ختراق أمن المعلومات: 55 

إخفاقات الأمن: 659 62» 266-65 75 





إخفاقات أمن المعلومات: 260 62 67 
إدارة أمن تقنية المعلومات: 161 
إدارة برامج أمن المعلومات: 34 


إدارة التحكم با معلومات : 31 
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رة تقنية المعلومات : 11ء 26-25( 628 
3 55« 91 


رةالمخاطر: 12 31( 88-83, 91- 
94. 98-97« 102-101 


دارة نظام المعلومات: 36 


أدوات القرصنة: 24 166 


v 
ت‎ 





حه 


إرهاب ال (cyber)‏ : 17« 35 

لاستثمار فى تقنيات أمن المعلومات : 60 

لاستجابة للمخاطر : 86-85 

ستراتيجية تأمين المعلومات : 675 78-77 

سترجاع البيانات : 13» 157» 162 

أشخاص الشبكة : 36 

أصول المعلومات: 612 620-18 118- 
9 125« 163 

لاعتداءات على شبكات الاتصال 
الإلكترونية : 17 

لاعتداءات والاختراقات في أمن 
المعلومات : 66 

لاقتحامات الالكترونية: 79-78 

أمن البنية التحتية : 68» 276-75 679 127 

أمن تقنية المعلومات: 69 12» 219-15 

161 .119 .63 .60 .58 .56 «31 


s 





من الحاسوب: 69« 163« 173 


أمن المعلومات: 6-5» 69 11ء 13» 16» 
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أمن المعلومات اللاسلكية : 129 145 

أنظمة إدارة العلاقة مع الزبون (083/4): 

64-3 

أنظمة أمن الإنترنت: 43 

أنظمة البيانات الإلكترونية : 43 

أنظمة تبادل البيانات الإلكتروني MEDD‏ 
64-3 

نظمة تخطيط موارد المؤسسة (ERP)‏ : 63- 
64 
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أنظمة الشبكات الحاسوبية: 70 
أنظمة كشف الاختراق (IDS)‏ : 81-80 
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التقنيات البيولوجية: 159 
تقنيات المعلومات : 45« 2.84 88 


تقنية المعلومات : 7 9. 12-11« 619-15 
28-25« 31. 242 46-45 656-53 
8 60« 63. 84-83« 88-86« 91 


«111 ¿102 «99-98 .96-94 2 
-160 «157 (127 «122 «119 3 
161 


تقييم أثر المخاطر :83.673 95-91 

تقييم البنى التحتية للشركات : 74 

inisi PARE ! فة المالية‎ <j 
63 المعلومات:‎ 

لتهديدات الخارجية : 71-70« 81-80 

لتهديدات الداخلية: 12» 671 77» 80- 
81. 119 





توثيق : 240-39 44 274 80 


توريسيلٍ » ريموند: 170 





جا نادت 


الثغرات: 10« 35. 61-60« 265-63 
68« 70« 73 276-75 279-78 82« 
8 100. 114« 140-139« 143« 
6 154-152« 163. 166¿ 173 


ثغرات شبكات الاتصال الإلكتروني: 
166 

ثقة الزبون: 626 65 

الثقة القائمة على التشابه : 104 

الثقة القائمة على الردع : 104 

الثقة القائمة على المعرفة: 104 


= C= 


جامعة كارنيغى ميلون (Carnegie‏ 
Mellon)‏ : 16« 33« 59« 67« 83« 
129« 171« 175 


جدران النار: 617 619 624 42 680-79 
111« 119« 141« 145-144 161« 
175-174 


جرائم الحاسوب: 626 174-173 

جرائم شبكات الاتصال الالكتروني: 173 

الجرائم المعلوماتية: 66 

الحريمة الحاسوبية: 24 

جمعية ضبط الرقابة على التقنية وأنظمة 
المعلومات الأمريكية :(TISACA)‏ 91 


102 649-47 : المعلومات‎ JE 
625 619 11ء‎ : (DoS) الحرمان من الخدمة‎ 
141 81 .72 67 62 


حرية المستخدم : 24 


65-64 : على الزبائن‎ BULI 

حماية أنظمة تشغيل الحاسوب: 125 

حماية برمجيات COTS‏ : 13< 126 

126 : برمجيات التطبيقات‎ ila 

حماية البنية التحتية: 66» 669 77» 126- 
7 173 

حماية ا لخصوصية: 24 

حماية مصالح الزبون: 66 

حماية المعلومات: 634 41 59» 663 73- 
4 82. 104-103 

حماية المعلومات الخاصة Pop SL‏ 660-59 
75-74« 82< 103 

حاية موقع أنظمة الأمن: 78 

حماية النفاذ للمعلومات : 24 

حوادث أمن المعلومات: 65 

حواسيب المستودعات: 117 

حوكمة أمن المعلومات : 106 

خدمة الإنترنت : 68-7 617 619 624-22 
27-26« 231 43« 56« 58« 665-64 
69-68. 80-79« 84« 89« 6105 


6143 139-135 «132 130 «120 
175-173 171-168 «166-165 


خدمة الزبون: 652 671 120 
خصوصية الزبون: 628 103 
الخصوصية الشخصية : 28-27 
خصوصية المستخدم: 18. c20‏ 141 


102 


الخصوصية المكافئة للشبكات السلكية 
(WEP)‏ : 131« 142-141« 146 

خطة أمن البنية التحتية : 76-75 

خطة تأمين المعلومات: 77 

خطة الشركات الاستراتيجية : 75 

خطة العمليات الطارئة (COOP)‏ : 76-75 

خطة العودة إلى الوضع السوي بعد 
الكارثة : 76-75« 122-121 


=>- 


لدعاوى القضائية من قبل الزبون: 27» 
5 155 


لدفاع المعمق عن المعلومات: 237 42- 


50-47 3 





لديدان: 618 625 35» 65 103» 6112 
685 145« 166 


دیلون» غوربريت: 40 
ae‏ 
رسائل البريد الإلكتروني غير المرغوب فيها 
(SPAM)‏ : 102 
رفع الدعاوى القضائية : 28 
رفع وعي المستخدم : 34 
الرقابة والتحقيق : 66 
رقع البرمجيات: 20« 145 
ريكس» تشارلز الرابع (1۷): 16 
=e‏ 
زيادة عدد الزبائن : 65-64 


زيزوف» أوليغ : 172 


so = 

45 الهوية: 617 627-26 105« 168- 
169 

سرية البيانات : 146 

سرية وثائق إدارة المخاطر: 88 

السّرية: 10« 41-39« 47, 656 274 682 
102« 140« 142« 144 

سلامة وصول البيانات : 639 6142 6146 
151 

سلوسرء تيموثي: 15 

سهولة النفاذ: 31 

سياسات إدارة نظام أمن المعلومات: 53 

سياسات الأمن: 12» 54» 121» 154 


- ش - 
شبكات الاتصال الإلكترونى: 17» 165- 
9 173 
الشبكات الداخلية اللاسلكية (WLAN)‏ : 
9 132-129 137-134 6139 
145-141« 149-147« 154-152 


6125 .69 6 اللاسلكية:‎ el 
6149 6145-144 «139 «136 2 
152 

لشبكات اللاسلكية المحلية الداخلية 
(LANs)‏ : 125 

:(WLANS) & SLU UI لشبكات المحلية‎ 
150 «131 «129 <69 

لشبكة الافتراضية : 68. 148 

لشبكة المحلية السلكية التقليدية (Wired‏ 
LAN)‏ : 139 
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22 : ديل‎ 4S 

شركة مايكروسوفت: 22« 112« 120 

شويتزر» نورمان ج.: 15 
- ص - 
aba‏ 

طرق الحماية البيولوجية : 159 

عدم الإنكار: 40-39 48 

عدم التدخل : 40 

العقوبات القانونية : 28 

العقوبات المالية : 28 

العلاقة بين الزبائن والمستثمرين: 62 

علاقة الزبون بالشركة : 60 

عمارة المعلومات أو هيكلتها: 113 


عمل هيكلة المؤسسة الفيدرالي (FEAF)‏ : 
46 


عمل هيكلة مؤسسة وزارة الدفاع (DOD)‏ : 
46 
عمليات إدارة النفاذ: 89 
غري» رافال: 172 
ف 
فحص نظام أمن المعلومات : 161 


66 :(CERTS) 


فقدان المعلومات : 26» 46 

فك تشفير كلمة السر: 171 

فوشت» ريتشارد: 15 

الفيروس على نظام مايكروسوفت: 112 


الفيروسات: 618 25( 662.435 679 
103« 118« 141« 145« 166 


فيروسات الحاسوب : 633 665 6181 183 
فيلبس» آرون: 15 
ee‏ 

قاعدة بيانات CAPPS‏ : 27 

قانون إصلاح أمن المعلومات الحكومية : 34 

قانون تأمين لشركات الخدمات الالية 
:(Gramm-leacch-Bliley)‏ 45 

قانون الخصوصية: 41 

قانون الخصوصية لعام 1974: 74 

قانون «لا تتصل هاتفياً»: 27 

قانون شركات التدقيق والمحاسبة العامة 
(Sarbanes-oxley)‏ : 45 

قانون مسؤولية وقابلية التداول في التأمين 
الصحي (HIPAA)‏ )1996( : 18« 


45 41 


235 (26-25 <19 : (hackers) القراصنة‎ 
2145 6137-136 ».125 «72-69 
170 «167-166 «163 .161 «149 


قراصنة الإنترنت: 17 

قرصنة قواعد البيانات : 62 

قنوات الاتصالات السلكية واللاسلكية: 
82-81 


قواعد البيانات : 119 


قواعد بيانات الزبون: 23 
قياس المخاطر: 295 97 
قياس المؤثرات البيولوجية : 158 
قيمة أصول المعلومات: 20 
قيمة أنظمة المعلومات : 22 
قيمة المعلومات : 621 24-23». 162 
500 
کاستیان» غوردون: 15 
كلمة السر: 80< 147» 161-160» 171 
کوشر» كريج إي.: 216 33 
الكونغرس الأمريكي : 27 
HS‏ كيفن: 15 
لبت 
لجنة أنظمة الأمن الوطنية : 39 
لوري» روبرت ل.: 15 
A‏ 
ماني» أنبازهاجن : 40 
متطلبات أمن المعلومات: 635 637 39- 
0 48 
متطلبات تأمين المعلومات : 637 46( 49- 
50 
مجتمع أمن المعلومات: 102 
مجتمع تقنية المعلومات : 18 
مجلس البحث الوطني: 167 


6132 :)855( الخدمة الأساسية‎ de poe 
188-7 

مجموعة الخدمة الرئيسية المستقلة (1855): 
132 

مجموعة الخدمة الموسعة (ESS)‏ : 132 


114 642 : أمن المعلومات‎ be 

157 : فقدان البيانات‎ „ble 

مخدمات إدارة البرمجيات : 79 

مدينة الملك عبد العزيز للعلوم والتقنية : 7- 
8« 10 

مراقبة الموظف : 51« 108 

مراياتي» عمر: 10 

مراياتي» فرح: 10 

مراياتي» محمد: 10 

مركز الادعاء ضد التلاعب عبر الانترنت: 
169 

مركز التنسيق المتخصص في قضايا أمن 
المعلومات CERT‏ : 617 33 

المركز الوطني لحماية البنية التحتية 
:(NICP)‏ 173« 185 

المساعد الرقمي الشخصي (PDA)‏ : 68 

مستودع البيانات: 21 

مسرد ضبط المعلومات الوطني: 39 

المسؤول الرئيسي عن أمن المعلومات: 78 

مشاكل أمن المعلومات: 53 

مشاكل البريد الإلكتروني : 62 

مشروع الشبكة اللاسلكية المشتركة : 139 

مصادر معلومات الزبون: 71 

مصفوفة التهديد: 612 112» 6114 122 

معايير التأمين والأمن: 74 

معرّف مجموعة الخدمة :(SSID)‏ 131- 
2 134« 147« 162 

المعلومات الخاصة بالزبون: 660-59 674 
2 104-103 

المعلومات الرقمية : 105» 158 


معهد أمن الحاسوب (CSI)‏ : 173 

المعهد الوطني للمعايير (NIS)‏ : 91 

مفهوم الأمن: 12 

المفوضية التجارية الفيدرالية الأمريكية: 27 

مكتب التحقيق الفيدرالي (FBD)‏ : 666 
165« 168-167« 173-172 

مكيناء جون: 15 

الملف النصي cookie‏ : 117 

المنظمة الدولية للمعايير (ISO)‏ : 440 91 

المنظمة العربية للترحمة : 8-7( 10 

منظومة البنية التحتية للمفتاح العام (PKI)‏ 
6 125 

منع النفاذ: 51 89« 163 

مهندس هيكلية أمن المعلومات : 44 


مهندسو أمن المعلومات: 624 103 c119‏ 
125 


مواصفات المعلومات: 48-47 
المؤشرات البيولوجية : 160-159 
ميللر» هولميس : 40 
5 
ناغراجان» آروون: 40 
نظام كشف الاختراق (IDS)‏ : 42« 188 
النفاذالمحظور: 20ء 626 89 6137 
141« 154-153« 162( 172 
النفاذ المحمي لل (Wi-Fi)‏ : 151-150 
نقاط الاحتكاك: 116 
نقاط النفاذ (APs)‏ : 36« 6127 132-130« 


-152 (149-142 .137 135-134 
162 3 


نقاط النفاذ الاحتياطية : 127 
نقطة النفاذ اللاسلكى : 36 145 
نقطة النفاذ المسماة (nDosa)‏ : 149 


النموذج المرجعي لهيكلية أمن المعلومات: 


40 
نولان» دوروثي: 15 
نولان» ديفيد: 22 


ده ب 


هاوس » جيمس باك : 40 

هجمات الحرمان من الخدمة : 625 62 
الهواتف النقالة المزودة UL‏ تصوير: 52 
هوية الزبون: 28 

هيرودء كريسان: 616 83 


هيكلة أمن المعلومات: 640 644 2107 
4111 113« 121« 152 


هيكلة المؤسسة : 37( 46-45 51-48 
- و 


وزارة الأمن الوطني الأمريكية (DHS)‏ : 
67 


وسائط التخزين : 6155 158 
وسائل قطع الاتصال بالشبكة : 81 
الوسائل المراسلة الفورية (IM)‏ : 52 
«yy‏ جون: 15 
ويتي » روبيرتا: 40 

- ي- 


ياريماكاء ايغور: 172 
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مدينة الملك عبدالعزيز‎ 


للعلوم والتقنية [كعم)! المنظمة العربية للترجمة 


تضم هذه السلسلة ترجمة لأحدث الكتب عن 
یات chins all‏ اا Bc pall gil‏ اله 
والتطوير ونقل المعرفة إلى القارئ العربي. 


مع تزايد قيمة المعلوماتية تطورت الأمنيّة المعلوماتية 
من مجرد منظور إنتاجي إلى سيرورة إدارة أعمال. 

ولم تعد أمنيّة المعلومات اليوم عملية تحكم 2 
مدخلات البيانات والأنظمة. وإنما السيطرة على 
مجموعة الخدمات. ومن ضمنها الشبكات اللاسلكية, 
الاك cys‏ د dine‏ اكرات اف col)‏ اة 
التخطيط العملياتي ب2 حالات الكوارث. 

على أساس هذه المفاهيم تغيّرت استراتيجية تنفيذ 
تكنولوجيا المعلومات من shee‏ مواجهة التحديات 
الخارجية إلى تكوين بنية تحتية للحماية موثوق بها 
ومرتبطة بسيرورات العمل2. وذلك لتحريك العائدات 
المالية. وجني الأرباح. 

fied‏ سلسلة IT‏ للحلول» ومنها كتابنا: أمن تقنية 
المعلومات: نصائح من isl pò‏ حصيلة لقاءات ومقابلات مع 
اختصاصيين وممارسين 24 حقل المعلوماتية. منحونا 
وجهات نظرهم حول نجاحات وفشل حماية المعلوماتية 2 
المنظمات. 
لورنس م. أوليفا: متخصّص 2 نظم المعلومات, 
والصناعات الإلكترونية. وله خبرة 4# مجال نظم 
مملوماقية لحان وتران رادت على عفرين هاما 
يعمل أوليفا حالياً مع شركة NCR‏ ويستخدم معظم ما 
جاء ‏ هذا الكتاب من تقنيات 2 التخاطب مع أعضاء 
فريقه على بعد أمتارء أو كيلومترات منه. 
محم Fine‏ د کدرراہ Alga‏ 2 ا ا 
لمعهد بحوث الإلكترونيات والعلوم الأساسية 2 دمشقء 
ثم مديراً للمعهد العالي للعلوم التطبيقية والتكنولوجيا 
فيهاء ثم مستشاراً 2 الأمم المتحدة (الإسكوا). ثم 
كبير مستشاري العلوم والتكنولوجيا للتنمية المستدامة 
EE LL. Jonsy .UN-DESA‏ 0 الت شاك 
وا ےا 2 ك pall‏ له الو 
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